Contrat de traitement des donnees (DPA)
Version du 24 fevrier 2026 — Conforme a la nLPD (Loi federale sur la protection des donnees)
1. Objet
Le present contrat regit le traitement des donnees personnelles effectue par VMAX Badge (sous-traitant) pour le compte de l'entreprise cliente (responsable du traitement), conformement a la nLPD et a l'OPDo.
2. Donnees traitees
| Categorie | Donnees | Finalite | Duree de conservation |
|---|---|---|---|
| Identite employe | Nom, prenom, date de naissance, nationalite | Gestion du personnel | Duree du contrat + 60 jours |
| Coordonnees | Adresse, email, telephone | Communication | Duree du contrat + 60 jours |
| Donnees bancaires | IBAN, numero AVS (chiffres) | Versement salaire, cotisations | 10 ans (CO art. 958f) |
| Geolocalisation | Coordonnees GPS au moment du badge | Verification du lieu de travail | 90 jours |
| Heures de travail | Pointages entree/sortie, durees | Calcul heures et salaire | 5 ans (CO art. 73) |
| Fiches de paie | Salaire brut/net, cotisations | Remuneration | 10 ans (CO art. 958f) |
| Logs d'audit | Actions effectuees dans le systeme | Tracabilite, securite | 10 ans |
3. Lieu de traitement
Toutes les donnees sont exclusivement traitees et stockees sur des serveurs situes en Suisse. Aucun transfert de donnees vers un pays tiers n'est effectue.
4. Mesures de securite
- Chiffrement des donnees sensibles en base (IBAN, AVS) via Fernet/AES-256
- Connexions HTTPS uniquement (HSTS active)
- Authentification JWT avec rotation des tokens
- Separation des donnees par entreprise (Row Level Security PostgreSQL)
- Journalisation de tous les acces aux donnees sensibles
- Mots de passe haches avec bcrypt
5. Droits des personnes concernees
Conformement a la nLPD :
- Droit d'acces (art. 25) : L'employe peut consulter ses donnees via l'application ou demander un export complet
- Droit de rectification : Le dirigeant peut corriger les donnees de ses employes a tout moment
- Droit a l'effacement (art. 32) : L'employe peut demander la suppression de ses donnees. L'anonymisation est effectuee sous 30 jours, sauf obligations legales de conservation
- Droit a la portabilite (art. 28) : Export des donnees en format JSON telechargeables
6. Sous-traitance
VMAX Badge n'utilise aucun sous-traitant pour le traitement des donnees personnelles. L'hebergement est assure sur infrastructure propre en Suisse.
7. Notification de violation
En cas de violation de la securite des donnees, VMAX Badge informera le responsable du traitement dans les plus brefs delais et au maximum dans les 72 heures suivant la decouverte de l'incident, conformement a la nLPD art. 24.
8. Fin du contrat
A la fin de la relation contractuelle :
- Les donnees personnelles sont exportables pendant 60 jours
- Passe ce delai, les donnees sont anonymisees puis supprimees
- Les donnees soumises a des obligations legales de conservation sont conservees pour la duree requise (fiches de paie : 10 ans, logs : 10 ans)
9. Contact
Pour toute question relative au traitement des donnees : contact@vmaxbadge.ch