Novteam

Contrat de sous-traitance des données (DPA)

Version 2026-07-02-v2 · eclatpubdesign, Raphaël Di Marco (entreprise individuelle) · Place des Halles 11, 2000 Neuchâtel, Suisse

Retour

Le présent contrat de sous-traitance des données (« DPA ») complète les conditions générales d'utilisation de Novteam et s'applique à toute entreprise cliente. Il est conclu entre l'entreprise cliente (« le Responsable du traitement ») et eclatpubdesign, Raphaël Di Marco (entreprise individuelle), Place des Halles 11, 2000 Neuchâtel, Suisse (« le Sous-traitant »). Il encadre les traitements de données personnelles réalisés pour le compte du client, conformément à l'art. 28 du RGPD et à l'art. 9 de la LPD suisse.

1. Objet, nature et finalité du traitement

  • Le Sous-traitant fournit la plateforme Novteam, un logiciel de suivi RH interne (évaluations, entretiens, formations, baromètre social, tâches, reconnaissance, répertoire).
  • Nature des opérations : collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication restreinte aux personnes autorisées, effacement.
  • Finalité : permettre au client d'organiser son suivi RH interne. Le Sous-traitant ne traite les données que pour fournir, sécuriser et améliorer le service, jamais pour son propre compte.
  • Durée : pendant toute la durée d'utilisation du service par le client, jusqu'à la clôture de l'espace et l'expiration du délai de suppression (section 8).

2. Catégories de personnes et de données

  • Personnes concernées : collaborateurs, responsables et administrateurs du client ; le cas échéant, contacts professionnels saisis dans le répertoire.
  • Données d'identification : nom, prénom, adresse e-mail professionnelle, poste, équipe, date d'entrée, date de naissance (facultative), photo de profil (facultative).
  • Données RH : évaluations et réponses, commentaires, entretiens, formations suivies et validations, quiz, tâches, badges de reconnaissance, notes internes, attestations.
  • Données de fonctionnement : journaux de connexion et d'audit, préférences de notification, acceptations (confidentialité, CGU).
  • Aucune donnée bancaire n'est traitée par le Sous-traitant : les paiements sont traités directement par Stripe.
  • Le service n'est pas conçu pour des données sensibles au sens de l'art. 5 LPD / art. 9 RGPD ; le client s'engage à ne pas en saisir dans les champs libres.

3. Instructions du client

  • Le Sous-traitant traite les données uniquement sur instruction documentée du client, matérialisée par la configuration de l'espace, l'utilisation des fonctionnalités et le présent DPA.
  • Si le Sous-traitant estime qu'une instruction viole la LPD ou le RGPD, il en informe le client sans délai.
  • Le Sous-traitant informe le client si le droit applicable lui impose un traitement particulier, sauf interdiction légale.

4. Confidentialité

  • Les personnes autorisées à traiter les données (éditeur et éventuels intervenants) sont tenues à une obligation de confidentialité contractuelle.
  • Les accès internes sont limités au strict nécessaire (principe du moindre privilège) et les actions sensibles sont journalisées.

5. Sécurité (mesures techniques et organisationnelles)

  • Chiffrement en transit (TLS) sur l'ensemble du service ; chiffrement au repos des bases de données.
  • Authentification : code personnel haché (bcrypt), verrouillage progressif des tentatives, connexion biométrique WebAuthn/passkeys en option.
  • Cloisonnement strict par entreprise : chaque donnée est rattachée à l'identifiant de l'organisation et chaque requête est filtrée par ce rattachement, côté serveur.
  • Droits d'accès applicatifs par poste et par équipe, configurés par l'administrateur du client.
  • Journaux d'audit des actions sensibles, conservés 3 ans.
  • Purge automatique planifiée des données techniques expirées (journaux de connexion, abonnements push inactifs).
  • Sauvegardes gérées par l'hébergeur de base de données (restauration à un instant donné), chiffrées.
  • Développement : revues de sécurité du code, isolation des environnements de test et de production.

6. Sous-traitants ultérieurs

  • Le client autorise de manière générale le recours aux sous-traitants ultérieurs listés en Annexe A.
  • Le Sous-traitant informe le client de tout ajout ou remplacement (mise à jour de la présente page et de la politique de confidentialité) ; le client peut s'y opposer pour motif légitime dans un délai de 30 jours, la résiliation restant son recours en cas de désaccord persistant.
  • Chaque sous-traitant ultérieur est lié par des obligations équivalentes à celles du présent DPA (contrats de traitement des données des prestataires concernés).

7. Assistance et violations de données

  • Le Sous-traitant assiste le client, dans la mesure du raisonnable, pour répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, portabilité, opposition).
  • En cas de violation de données personnelles, le Sous-traitant notifie le client dans les meilleurs délais après en avoir pris connaissance, au plus tard sous 72 heures, avec les informations disponibles (nature, catégories et volumes concernés, mesures prises).
  • Le Sous-traitant assiste le client pour ses obligations de notification aux autorités et aux personnes concernées, ainsi que pour les analyses d'impact le cas échéant.

8. Sort des données en fin de contrat

  • L'administrateur peut exporter l'ensemble des données de son entreprise à tout moment depuis les paramètres de l'application (format structuré, lisible par machine).
  • À la clôture de l'espace, les données du client sont supprimées dans un délai de 30 jours, sauf obligation légale de conservation (notamment pièces comptables liées à la facturation).
  • Les copies de sauvegarde expirent ensuite selon le cycle de rétention de l'hébergeur de base de données.

9. Audit et démonstration de conformité

  • Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect du présent DPA (documentation, liste des sous-traitants, mesures de sécurité, certifications des hébergeurs).
  • Le client peut, au maximum une fois par an et à ses frais, demander un audit documentaire complémentaire, avec un préavis raisonnable de 30 jours et sans perturber le service.

10. Durée, droit applicable et for

  • Le présent DPA prend effet à la création de l'espace et reste en vigueur tant que le Sous-traitant traite des données pour le compte du client.
  • Il est soumis au droit suisse ; sous réserve de dispositions impératives, le for est à Neuchâtel (Suisse).
  • Version du document : 2026-07-02-v2. Toute question : contact@novteam.com.

Annexe A — Sous-traitants ultérieurs autorisés

PrestataireRôleLocalisationGaranties
Vercel Inc.Hébergement de l'application (serveurs et diffusion)Union européenne — fonctions exécutées en région fra1 (Francfort, Allemagne)Données traitées dans l'UE ; chiffrement en transit (TLS)
Neon Inc. (groupe Databricks)Base de données principale (données RH, comptes, évaluations)Union européenne — région eu-central-1 (Francfort, Allemagne)Données hébergées dans l'UE ; chiffrement au repos et en transit
Stripe Payments Europe Ltd / Stripe Inc.Paiement des abonnements et facturationIrlande / États-UnisCertifié PCI-DSS ; clauses contractuelles types (CCT). Novteam ne stocke aucun numéro de carte.
Resend (Plus Five Five Inc.)Envoi des e-mails transactionnels (codes d'accès, notifications)États-UnisClauses contractuelles types (CCT)
Anthropic PBCAnalyses IA : assistant RH sur données agrégées (effectifs, moyennes) ; synthèse du climat à partir des messages anonymes du baromètre (texte libre, sans identifiant nominatif)États-UnisClauses contractuelles types (CCT) ; pas d'entraînement des modèles sur les données clients (offre API)

Annexe B — Durées de conservation

  • Données RH (évaluations, entretiens, notes de terrain, formations, tâches…) : par défaut, pendant toute la durée du contrat ; l'entreprise cliente peut définir une durée de conservation par catégorie (1 à 10 ans — notes, évaluations, entretiens, tâches archivées) dans ses paramètres, avec purge automatique hebdomadaire.
  • À la clôture de l'espace : suppression de l'ensemble des données dans les 30 jours (sauf demande d'export préalable).
  • Historique des échanges de shifts résolus : 1 an.
  • Journaux de connexion (tentatives) : 180 jours.
  • Abonnements aux notifications push inactifs : 365 jours.
  • Journaux d'audit (traçabilité des actions sensibles) : 3 ans.
  • Données de facturation : 10 ans (obligation comptable suisse, art. 958f CO).