Accord de Sous-traitance (DPA)

1. Parties au présent Accord

1.1 Sous-traitant (« CoSec »)

Raison sociale

OlOxOn Sàrl

Forme juridique

Société à responsabilité limitée de droit suisse

Siège social

3 Chemin des Passereaux, 1226 Thônex, Suisse

Numéro IDE

CHE-XXX.XXX.XXX

Inscription au registre du commerce

Registre du commerce du canton de Genève

Représentant légal

Jean-Jacques Rossmann, gérant

Contact protection des données

legal@cosec.ch

1.2 Responsable de traitement (« Client »)

Raison sociale

[à compléter par le Client]

Forme juridique

[à compléter par le Client]

Siège social

[à compléter par le Client]

Numéro d'identification

[à compléter par le Client : IDE/SIREN/N° de TVA selon juridiction]

Représentant légal

[à compléter par le Client]

Délégué à la protection des données (DPO) si désigné

[à compléter par le Client]

Ci-après désignés ensemble les « Parties » et individuellement la « Partie ».

2. Définitions

Les termes employés dans le présent Accord ont la signification suivante :

• LPD : Loi fédérale suisse sur la protection des données du 25 septembre 2020, en vigueur depuis le 1^er septembre 2023
• OPDo : Ordonnance fédérale sur la protection des données du 31 août 2022, en vigueur depuis le 1^er septembre 2023
• Données : les données personnelles au sens de l'art. 5 let. a LPD, traitées par CoSec pour le compte du Client dans le cadre du Service
• Service : la plateforme CoSec accessible aux adresses cosec.ch et app.cosec.ch
• Personnes concernées : les personnes physiques identifiées ou identifiables auxquelles les Données se rapportent
• Sous-traitant ultérieur : tiers à qui CoSec confie tout ou partie du traitement (Infomaniak, Stripe ; voir Annexe B)
• Violation de la sécurité des données : violation au sens de l'art. 5 let. h LPD
• Autorité de surveillance : Préposé fédéral à la protection des données et à la transparence (PFPDT)

3. Objet, durée et nature du traitement

3.1 Objet

Le présent Accord a pour objet de définir les conditions dans lesquelles CoSec s'engage à effectuer, pour le compte du Client, les opérations de traitement de Données nécessaires à la fourniture du Service, dans le respect de la LPD suisse, de l'OPDo et du présent Accord.

3.2 Nature et finalités du traitement

CoSec traite les Données aux seules fins suivantes :

• Fourniture du Service à l'Organisation cliente (création de compte, accès à l'application, génération de livrables IA, stockage de documents, gestion des projets, main courante, vault de fichiers)
• Authentification et sécurité (passkey FIDO2/WebAuthn, lien magique, double authentification, journalisation des connexions)
• Facturation et gestion contractuelle (tenue de comptes, émission de factures via Stripe)
• Support utilisateur sur demande explicite du Client
• Sauvegarde technique et reprise après sinistre
• Reporting interne agrégé non identifiant (volumes d'appels API, métriques de performance)

CoSec s'interdit tout traitement des Données à des fins propres, notamment :

• Aucun entraînement, ré-entraînement ou amélioration de modèles d'intelligence artificielle
• Aucune revente, location ou partage à des tiers (hors sous-traitants ultérieurs autorisés)
• Aucun profilage publicitaire ou comportemental
• Aucune réutilisation à des fins de prospection commerciale propre

3.3 Durée

Le présent Accord prend effet à la date de signature par les deux Parties (ou à la date d'inscription du Client au Service en cas d'acceptation par référence dans les CGU) et reste en vigueur pendant toute la durée d'utilisation du Service par le Client. Il prend fin automatiquement à la résiliation du contrat principal de Service, sous réserve des obligations qui survivent (article 12).

3.4 Localisation du traitement

L'ensemble du traitement effectué par CoSec a lieu en Suisse, dans les datacenters d'Infomaniak Network SA (Genève et Zurich), à l'exception du sous-traitement Stripe pour la facturation (Irlande UE + USA, voir Annexe B et article 7).

4. Catégories de données et personnes concernées

4.1 Catégories de personnes concernées

• Membres de l'Organisation cliente (utilisateurs du Service)
• Tiers dont les données sont saisies par le Client dans le Service (témoins, victimes, agents, organisateurs, intervenants, contacts professionnels, etc.)
• Contacts de facturation et représentants légaux du Client

4.2 Catégories de données traitées

• Données d'identification : noms, prénoms, adresses e-mail, numéros de téléphone, fonctions professionnelles
• Données d'authentification : tokens de session, secrets TOTP chiffrés (AES-256-GCM), codes de récupération 2FA chiffrés, clés publiques de passkey (FIDO2/WebAuthn, la clé privée associée reste exclusivement sur le device de l'utilisateur)
• Contenu de mission : documents téléversés (PDF, DOCX, XLSX, TXT, MD), conversations IA, livrables générés, notes, projets, incidents de main courante, fichiers vault
• Données techniques : adresses IP (rate limiting, audit), user agents, identifiants de requête
• Données de facturation : adresse, identifiant Stripe customer_id et subscription_id, 4 derniers chiffres de la carte (jamais le numéro complet)

4.3 Catégories particulières

Le Client s'interdit, sauf base légale spécifique et information préalable du DPO de CoSec, d'utiliser le Service pour traiter :

• Données sur la santé (art. 5 let. c ch. 2 LPD)
• Données génétiques ou biométriques permettant l'identification
• Données relatives à des opinions politiques, religieuses, philosophiques, à l'origine raciale ou ethnique, à la vie sexuelle
• Données relatives à des poursuites ou condamnations pénales (au-delà de ce qui est strictement nécessaire dans le cadre des activités de sécurité privée légalement autorisées)

Si le Client envisage de traiter de telles données pour une finalité légitime, il en informe préalablement CoSec à legal@cosec.ch afin que des mesures complémentaires éventuelles soient discutées.

5. Obligations du Responsable de traitement

Le Client s'engage à :

• Disposer d'une base légale valable au sens de la LPD pour chaque traitement effectué via CoSec (art. 6 et 31 LPD)
• Informer les Personnes concernées de l'existence et des finalités du traitement, conformément aux art. 19-21 LPD
• Respecter les principes de licéité, bonne foi, proportionnalité, finalité, minimisation et exactitude (art. 6 LPD) : ne saisir dans CoSec que les données strictement nécessaires
• Assurer l'exactitude des Données saisies et procéder à leur mise à jour ou rectification dans des délais raisonnables
• Documenter ses traitements dans un registre des activités de traitement si l'art. 12 LPD lui est applicable (entreprises de 250 collaborateurs ou plus, traitement à grande échelle de données sensibles, profilage à risque élevé ; OPDo Art. 24)
• Effectuer une analyse d'impact relative à la protection des données (AIPD) au sens de l'art. 22 LPD lorsque le traitement présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (notamment traitement de données sensibles à grande échelle, surveillance systématique, recours à de nouvelles technologies)
• Donner suite aux demandes des Personnes concernées en première intention (CoSec assistant le Client conformément à l'article 10 du présent Accord)
• Sécuriser ses propres accès au Service (mots de passe email, dispositifs 2FA, postes de travail à jour)

6. Obligations du Sous-traitant (CoSec)

CoSec s'engage à :

6.1 Conformité aux instructions documentées

Traiter les Données uniquement sur la base des instructions documentées du Client. Sont considérées comme telles les CGU, le présent Accord, les paramètres configurables par le Client dans l'application (rôles, permissions, mémoire d'organisation, suppression de compte), et toute instruction écrite ultérieure transmise via les canaux contractuels.

Si CoSec considère qu'une instruction du Client constitue une violation du droit applicable, elle en informe immédiatement le Client.

6.2 Confidentialité du personnel

Garantir que toute personne ayant accès aux Données dans le cadre de ses fonctions chez CoSec :

• A signé un engagement de confidentialité ou est tenue par une obligation légale équivalente
• Est formée à la protection des données et aux mesures de sécurité applicables
• N'accède aux Données que dans la stricte mesure nécessaire à l'accomplissement de ses missions (principe du moindre privilège)

6.3 Mesures de sécurité

Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe A, ainsi que toute mesure complémentaire appropriée à l'évolution de l'état de l'art et des risques, conformément à l'art. 8 LPD et à l'OPDo Art. 1-4 (objectifs : confidentialité, disponibilité, intégrité, traçabilité).

6.4 Recours à des sous-traitants ultérieurs

Ne recourir à des sous-traitants ultérieurs que dans les conditions prévues à l'article 7 du présent Accord et à l'Annexe B.

6.5 Coopération

Coopérer raisonnablement avec le Client pour l'accomplissement de ses obligations, notamment dans le cadre :

• Des demandes des Personnes concernées (art. 25-32 LPD : accès, rectification, effacement, portabilité, opposition)
• Des notifications de violation de la sécurité des données au PFPDT et aux personnes concernées (art. 24 LPD)
• Des analyses d'impact relatives à la protection des données (art. 22 LPD) et consultations préalables (art. 23 LPD)

6.6 Mise à disposition d'informations

Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent Accord et permettre la réalisation d'audits dans les conditions de l'article 11.

7. Recours à des sous-traitants ultérieurs

7.1 Autorisation générale

Le Client autorise par le présent Accord CoSec à recourir aux sous-traitants ultérieurs listés en Annexe B, et à leurs successeurs en droit, aux conditions suivantes.

7.2 Garanties contractuelles imposées aux sous-traitants ultérieurs

CoSec impose contractuellement à chaque sous-traitant ultérieur des obligations équivalentes à celles du présent Accord, en particulier :

• Limitation aux finalités du traitement initial
• Mesures techniques et organisationnelles appropriées
• Notification des violations de Données dans des délais permettant à CoSec de respecter ses propres délais de notification
• Coopération avec les autorités de contrôle
• Obligation d'imposer les mêmes garanties à leurs propres sous-traitants éventuels (sous-sous-traitance encadrée)

7.3 Notification d'ajout ou de remplacement

Toute modification de la liste des sous-traitants ultérieurs (ajout, remplacement, changement substantiel de localisation ou de garanties) est notifiée au Client par e-mail à l'adresse de l'owner de l'Organisation, au moins 30 jours avant l'entrée en vigueur. La liste est également maintenue à jour publiquement à l'adresse cosec.ch/sous-traitants.html.

Le Client dispose d'un droit d'opposition pour motif raisonnable lié à la protection des Données. En cas d'opposition motivée, le Client peut résilier le contrat de Service sans frais avant l'entrée en vigueur du changement.

7.4 Responsabilité de CoSec

CoSec demeure pleinement responsable envers le Client de l'exécution par les sous-traitants ultérieurs de leurs obligations en matière de protection des Données.

8. Mesures techniques et organisationnelles

CoSec met en œuvre les mesures techniques et organisationnelles décrites à l'Annexe A du présent Accord. Ces mesures sont régulièrement revues et adaptées à l'état de l'art, aux risques identifiés et aux retours d'audits internes ou externes.

Une description détaillée et à jour est également disponible dans la section 7 de la Politique de confidentialité CoSec et sur la page Sécurité & souveraineté.

9. Notification de violation de données

9.1 Notification de CoSec au Client

En cas de violation de Données dont CoSec a connaissance, CoSec notifie le Client sans délai injustifié, et au plus tard dans les 48 heures suivant la prise de connaissance, par e-mail à l'adresse de l'owner de l'Organisation et à toute adresse de DPO communiquée préalablement.

La notification contient au minimum :

• La nature de la violation, les catégories et le nombre approximatif de Personnes et d'enregistrements concernés
• Le nom et les coordonnées du contact CoSec pour obtenir plus d'informations
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour y remédier et atténuer les effets négatifs

9.2 Notifications du Client à l'autorité et aux Personnes concernées

Il appartient au Client, en sa qualité de responsable du traitement, de procéder le cas échéant aux notifications légales prévues par la LPD :

• Au PFPDT, dans les meilleurs délais lorsque la violation est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (art. 24 al. 1 LPD & OPDo Art. 15)
• Aux Personnes concernées, sans délai injustifié, si la violation présente un risque élevé pour leur personnalité ou si le PFPDT l'exige (art. 24 al. 4 LPD)

CoSec assiste le Client en lui fournissant toutes les informations raisonnablement disponibles.

10. Assistance pour l'exercice des droits LPD

CoSec met à disposition du Client les fonctionnalités natives du Service permettant de répondre aux demandes des Personnes concernées au sens des art. 25-32 LPD :

• Droit d'accès (art. 25 LPD) : export des données du compte sur demande à legal@cosec.ch
• Droit de rectification (art. 32 al. 1 LPD) : modification directe par l'Utilisateur dans l'interface
• Droit à l'effacement / destruction (art. 32 al. 2 LPD) : suppression de compte auto-déclenchable depuis app.cosec.ch/settings/delete-account, avec procédure de purge effective sous 30 jours
• Droit d'opposition (art. 30 LPD) : suspension du traitement sur demande motivée à legal@cosec.ch
• Droit à la remise (portabilité) (art. 28 LPD) : export des données dans un format électronique couramment utilisé (JSON, CSV, fichiers natifs) sur demande à legal@cosec.ch

En cas de demande adressée directement à CoSec par une Personne concernée n'étant pas un Utilisateur direct du Service, CoSec en informe le Client sans délai et sans répondre à la demande, sauf instruction contraire écrite du Client.

11. Audits et inspections

11.1 Droit du Client d'auditer

Le Client peut, à ses propres frais et sur préavis raisonnable d'au moins 30 jours, auditer la conformité de CoSec aux obligations du présent Accord, soit lui-même, soit par l'intermédiaire d'un auditeur tiers indépendant et soumis à une obligation de confidentialité.

11.2 Conditions de l'audit

L'audit est mené dans les conditions suivantes :

• Pendant les heures ouvrables (lun-ven 9h-17h heure de Genève)
• Sans perturbation déraisonnable du Service ni des autres clients
• Sans accès aux données d'autres clients ni au code source propriétaire de CoSec hors zone strictement auditée
• Limité à une fois par année civile, sauf incident grave imputable à CoSec ou demande motivée d'une autorité de contrôle

11.3 Alternative aux audits sur site

En substitution d'un audit sur site, CoSec peut mettre à disposition du Client les éléments suivants :

• Rapports d'audits internes et tiers récents (le cas échéant)
• Certifications publiques des sous-traitants principaux : Infomaniak (ISO 27001, ISO 50001) et Stripe (PCI-DSS niveau 1, SOC 1 Type II, SOC 2 Type II)
• Documentation détaillée des mesures de sécurité (Annexe A enrichie)
• Registre des activités de traitement (extrait limité aux traitements concernant le Client)

12. Fin du contrat : restitution / suppression

12.1 Choix du Client

À l'expiration du contrat de Service, et sauf obligation légale contraire imposant une conservation, CoSec procède, au choix du Client exprimé par écrit avant la fin du contrat :

• Restitution intégrale des Données dans un format structuré et exploitable (JSON, CSV, fichiers natifs), suivie de leur suppression effective
• Suppression effective directe sans restitution préalable

À défaut de choix exprimé, CoSec applique la procédure de suppression standard : soft-delete immédiat, période de grâce de 30 jours pendant laquelle le compte peut être réactivé, puis purge physique automatique au-delà.

12.2 Données conservées par obligation légale

Les données conservées en raison d'une obligation légale (notamment factures et données comptables : 10 ans selon l'art. 958f du Code des obligations suisse) sont anonymisées dans toute la mesure permise par la loi (suppression du nom, conservation du numéro de facture et du montant pour audit fiscal).

12.3 Sauvegardes

Les sauvegardes contenant des Données du Client sont automatiquement écrasées dans le cadre de la rotation standard (90 jours en Object Storage, 7 jours en local). CoSec ne procède à aucune restauration de Données du Client à partir de ces sauvegardes après suppression effective.

12.4 Survie d'obligations

Les obligations de confidentialité, les obligations relatives aux notifications de violation portant sur des faits antérieurs à la résiliation, et les obligations de coopération avec les autorités survivent à la résiliation du présent Accord pour la durée nécessaire à leur effet utile.

13. Droit applicable et juridiction

Le présent Accord est régi par le droit suisse, à l'exclusion des règles de conflit de lois.

Tout litige relatif au présent Accord relève de la compétence exclusive des tribunaux ordinaires du canton de Genève, Suisse, sous réserve des dispositions impératives du droit applicable.

Avant toute action judiciaire, les Parties s'efforcent de résoudre leur différend à l'amiable par échange écrit motivé adressé à legal@cosec.ch et à l'adresse du DPO du Client.

14. Annexes

Annexe A · Mesures techniques et organisationnelles (résumé)

Catégorie	Mesure mise en œuvre
Chiffrement en transit	TLS 1.3 obligatoire, HSTS preload, certificats Let's Encrypt
Chiffrement au repos	AES-256 sur volumes Infomaniak (base de données + Object Storage)
Authentification	Passkey FIDO2/WebAuthn (recommandé) ou magic link à usage unique 15 min ; pas de mot de passe statique
Passkey	Clé publique stockée côté serveur, clé privée crypto-bound au device utilisateur (Secure Enclave Apple, TPM Windows, password manager synchronisé). Phishing-resistant par construction
2FA	TOTP optionnel en complément du magic link ; redondant si passkey activé. Imposable org-wide par l'owner
Sessions	Durée maximale 7 jours ; révocables instantanément (stockées en base de données, pas en JWT)
Notification connexion	E-mail à chaque nouvelle connexion réussie (date, IP, appareil)
Isolation multi-tenant	Contrôle d'accès logique au niveau base de données par organization_id
Rate limiting	Par IP et par utilisateur sur les endpoints sensibles (auth, upload, chat, billing)
Pare-feu	Security Group OpenStack sur la VM Postgres (whitelist IP) + Fail2ban
Audit logs	Table audit_events : connexions, déconnexions, 2FA, enregistrement et révocation de passkeys, suppression, modifications sensibles
Headers HTTP sécurité	CSP stricte, X-Frame-Options DENY, COOP same-origin, CORP same-origin
Sauvegardes chiffrées	Quotidiennes, AES-256, 90 jours en Object Storage Infomaniak
Page de statut publique	app.cosec.ch/status, monitoring 4 services critiques
Suppression compte	Soft-delete + grace 30 jours + purge physique automatique + anonymisation des données comptables
Personnel habilité	Accès production restreint au strict nécessaire, clés SSH dédiées, pas de mot de passe
Sous-traitants ultérieurs	DPA en vigueur avec Infomaniak Network SA (DPA signé) et Stripe Payments Europe Ltd. (DPA Stripe version 18 novembre 2025, applicable via le Stripe Services Agreement). Voir Annexe B

Annexe B · Liste des sous-traitants ultérieurs autorisés

Sous-traitant	Rôle	Localisation	Garanties
Infomaniak Network SA Rue Eugène-Marziano 25, 1227 Les Acacias (Genève), Suisse CHE-103.167.648	Hébergement, base de données, IA Services, stockage, mail SMTP, kSuite, registrar du domaine cosec.ch	🇨🇭 Suisse uniquement (datacenters Genève + Zurich)	DPA signé · Soumis à la LPD suisse · Immunité CLOUD Act / FISA / Patriot Act · Certifications ISO 27001, ISO 50001 · Engagement contractuel de non-réutilisation pour entraînement IA
Stripe Payments Europe Ltd. 1 Grand Canal Street Lower, Dublin 2, Irlande	Encaissement des paiements, gestion d'abonnements, émission de factures PDF, portail self-service, webhooks	🇮🇪 Irlande (UE) + 🇺🇸 USA (groupe)	DPA Stripe en vigueur (version du 18 novembre 2025, applicable via le Stripe Services Agreement, stripe.com/legal/dpa) · Data Transfers Addendum avec SCCs UE 2021/914 (stripe.com/legal/dta) · Adhésion au Swiss-U.S. Data Privacy Framework (mécanisme d'adéquation reconnu par l'Annexe 1 OPDo depuis le 15 septembre 2024, art. 16 al. 1 LPD) · Garanties contractuelles équivalentes au sens de l'art. 16 al. 2 let. b LPD · Certifications PCI-DSS niveau 1, SOC 1 Type II, SOC 2 Type II · Sous-processeurs ultérieurs listés sur stripe.com/legal/service-providers

Pour la version à jour et exhaustive, voir cosec.ch/sous-traitants.html.

Annexe C · Coordonnées de contact opérationnelles

Contact général CoSec

contact@cosec.ch

Contact protection des données / DPO

legal@cosec.ch

Notification de violation de données (urgence 24/7)

legal@cosec.ch avec copie à contact@cosec.ch

Support technique

support@cosec.ch

Contact Client (à compléter)

[à compléter par le Client : nom, fonction, e-mail, téléphone du DPO ou point de contact]

15. Signatures

Le présent Accord est établi en deux exemplaires originaux, un pour chaque Partie, ou signé électroniquement avec valeur probante équivalente conformément à la SCSE (Suisse) ou au Règlement eIDAS (UE).

Pour le Sous-traitant OlOxOn Sàrl (CoSec) Nom : Jean-Jacques Rossmann Fonction : Gérant Lieu et date : ............................ Signature :

Pour le Responsable de traitement (Client) Nom : ............................ Fonction : ............................ Lieu et date : ............................ Signature :

---

Pour les conditions d'utilisation du Service, voir nos Conditions Générales d'Utilisation.
Pour la collecte et le traitement des données personnelles, voir notre Politique de confidentialité.
Pour la liste complète et à jour des sous-traitants, voir la page Sous-traitants.
Pour comprendre l'infrastructure souveraine, voir la page Sécurité & souveraineté.