Accord de Traitement des Données (ATD)
Dernière mise à jour : 6 juillet 2026
Version : 6 juillet 2026. Cette version est en vigueur à compter du 6 juillet 2026. En cas de modifications substantielles de cet Accord de Traitement des Données, vous en serez informé(e) en temps opportun. Cet Accord de Traitement des Données ("ATD") régit les obligations en matière de protection des données des parties concernant le traitement des données à caractère personnel dans le cadre de l'utilisation des services LokBox. Il répond aux exigences légales de l'Art. 28 du RGPD ainsi que de la Loi fédérale suisse sur la protection des données (nLPD). Historique des modifications : Version 2026-07-06 – Ajout des catégories de données à caractère personnel et des catégories de personnes concernées (§ 2), précision sur l'hébergement des données dans l'UE (§ 5), ajout d'une clause de for (§ 11), clarifications concernant les instructions et les sous-traitants ultérieurs (§§ 3, 4). Version 2026-06-16 – Version initiale.
1. Parties
Responsable du traitement (Client) : L'utilisateur des services LokBox qui traite des données à caractère personnel dans le cadre de son compte. Sous-traitant (Fournisseur) : bubloo, Kubilé, Lischenweg 7, 4915 St. Urban, Suisse (IDE : CHE-190.821.402).
2. Objet, Nature et Finalité du Traitement
Le Sous-traitant traite les données à caractère personnel pour le compte et selon les instructions documentées du Responsable du traitement afin de fournir les services LokBox (automatisation de navigateur assistée par l'IA, traitement de texte et intégrations API). Le traitement comprend la collecte, l'enregistrement, le stockage, la lecture, l'interrogation et la suppression de données. Catégories de données à caractère personnel : données de base des mandants (noms, adresses, coordonnées, informations sur la société et la forme juridique) ; identifiants (par ex. IDE, numéros de registre du commerce, fiscaux et d'assurances sociales, dans la mesure où ils sont saisis par le Responsable du traitement) ; ainsi que les données de tâches du portail (les textes de tâches confiés par le Responsable du traitement, les documents téléversés, le contexte d'accès et les données de résultats et de journalisation générées par l'agent). Catégories de personnes concernées : les mandants du Responsable du traitement et leurs représentants autorisés ou personnes de contact, les collaborateurs et utilisateurs finaux du Responsable du traitement, ainsi que d'autres personnes physiques dont le Responsable du traitement saisit les données dans le cadre d'une tâche.
3. Instructions et Confidentialité
Le Sous-traitant traite les données personnelles exclusivement sur instruction documentée du Responsable du traitement. Si le Sous-traitant estime qu'une instruction enfreint le RGPD, la nLPD ou d'autres dispositions relatives à la protection des données, il en informe le Responsable du traitement dans les meilleurs délais (Art. 28, par. 3, al. 2 du RGPD). Le Sous-traitant garantit que toutes les personnes autorisées à traiter les données (employés) se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
4. Sous-traitants ultérieurs (Subprocessors)
Le Sous-traitant fait appel notamment aux sous-traitants ultérieurs suivants pour fournir les services : Hetzner Online GmbH (hébergement Frontend & Backend, Allemagne/Falkenstein (fsn1)) ; Amazon Web Services (AWS) (inférence LLM (Bedrock) – aucun entraînement, UE eu-central-1 Francfort) ; Supabase (base de données et stockage, UE eu-central-1 Francfort) ; Stripe (traitement des paiements, UE/Irlande) ; Sentry (suivi des erreurs, UE de.sentry.io). La liste complète et actualisée des sous-traitants ultérieurs est disponible sur lokbox.ch/subprocessors et fait foi pour l'étendue du consentement donné ; le Responsable du traitement accepte par la présente l'utilisation des sous-traitants ultérieurs qui y sont énumérés. Le Sous-traitant impose contractuellement à chaque sous-traitant ultérieur des obligations en matière de protection des données substantiellement équivalentes à celles convenues dans le présent ATD (Art. 28, par. 4 du RGPD). Le Sous-traitant informera le Responsable du traitement en temps opportun de tout changement prévu (ajout ou remplacement) ; le Responsable du traitement peut s'y opposer pour un motif légitime lié à la protection des données.
5. Transferts internationaux de données (Vers des pays tiers)
LokBox est un fournisseur suisse ; toutefois, le traitement et le stockage des données ont lieu sur une infrastructure européenne dans l'UE/EEE (notamment à Francfort). Aucun hébergement productif de données à caractère personnel n'a lieu en Suisse dans le cadre des services cloud. Si l'utilisation de certaines intégrations (par exemple Notion) implique un transfert de données vers les États-Unis, le Sous-traitant s'appuie sur les Clauses Contractuelles Types (CCT) de la Commission européenne (ainsi que les adaptations suisses correspondantes) et sur le Data Privacy Framework (DPF) pour garantir un niveau de protection adéquat conformément à l'Art. 46 du RGPD.
6. Mesures Techniques et Organisationnelles (MTO)
Le Sous-traitant a mis en œuvre des mesures techniques et organisationnelles appropriées conformément à l'Art. 32 du RGPD pour garantir un niveau de sécurité adapté au risque. Celles-ci incluent notamment : Chiffrement : Tous les transferts de données (TLS/SSL) ainsi que les données stockées (Data at Rest) sont chiffrés ; Isolement : Les automatisations de navigateur s'exécutent dans des environnements sandbox isolés et éphémères ; Contrôle d'accès : L'accès physique et logique est strictement contrôlé.
7. Obligations d'assistance et Notification des violations de données (Breach Notification)
Le Sous-traitant assiste raisonnablement le Responsable du traitement pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, etc.). En cas de violation de données à caractère personnel (Data Breach), le Sous-traitant le notifie au Responsable du traitement dans les meilleurs délais après en avoir pris connaissance et l'assiste dans ses obligations légales de notification et de communication (Art. 33, 34 RGPD) ainsi que pour les analyses d'impact.
8. Droits de contrôle et d'audit
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues dans cet ATD. Le Responsable du traitement (ou un auditeur indépendant mandaté par lui) a le droit d'effectuer des audits et des inspections raisonnables, moyennant un préavis approprié.
9. Conservation et Suppression des données (Rétention)
À la fin de la prestation des services de traitement ou en cas de résiliation, le Sous-traitant, au choix du Responsable du traitement, supprime ou renvoie (exporte) toutes les données personnelles, sauf obligation légale de conservation. Une phase technique de "soft-delete" de 30 jours peut s'appliquer pour éviter la perte accidentelle de données avant la suppression physique et irrévocable.
10. Durée du Contrat
Cet ATD est conclu pour une durée indéterminée et prend fin automatiquement à la résiliation du contrat principal d'utilisation des services LokBox.
11. Droit applicable et for
Le présent ATD est régi exclusivement par le droit suisse, à l'exclusion des règles de conflit de lois et de la Convention des Nations Unies sur les contrats de vente internationale de marchandises. Le for exclusif pour tous les litiges découlant du présent ATD ou en relation avec celui-ci est Lucerne, Suisse, sous réserve des fors impératifs prévus par la loi.