DPA — Accord de traitement des données

Le présent accord (ci-après « DPA ») précise les engagements pris par ILYGO Sàrl (ci-après « le Sous-traitant ») en sa qualité de sous-traitant des données à caractère personnel pour le compte du Client (ci-après « le Responsable du traitement ») lors de l'utilisation du service ILYGO Atrium. Il complète les CGV et est conforme à la nLPD suisse ainsi qu'à l'article 28 du RGPD lorsqu'applicable.

1. Objet du traitement

Hébergement, traitement, indexation, classification et restitution des données chargées par le Client dans le Service, dans le but de fournir les fonctionnalités d'ILYGO Atrium (triage email, génération de brouillons, base de connaissances, gestion des dossiers, rapports).

2. Durée

Le DPA prend effet à la date d'acceptation des CGV et reste en vigueur pendant toute la durée du contrat. À l'issue, les Données Client sont restituées ou supprimées selon les modalités prévues aux CGV (article 8).

3. Catégories de données et de personnes concernées

Catégories de personnes	Catégories de données
Utilisateurs (collaborateurs du Client)	Identité, email, fonction, journaux d'activité
Contacts externes (clients, prospects, partenaires)	Identité, coordonnées, contenus des emails échangés, historique des interactions
Personnes mentionnées dans des emails ou documents	Toutes données personnelles incluses dans les contenus chargés par le Client

Le Client s'engage à ne pas utiliser le Service pour traiter des données sensibles (santé, opinions religieuses, condamnations pénales, données génétiques ou biométriques) sans avoir préalablement obtenu l'accord écrit d'ILYGO et mis en place les mesures adéquates.

4. Obligations du Sous-traitant

traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement, conformément aux CGV et au DPA ;
garantir la confidentialité des données et veiller à ce que ses collaborateurs habilités soient soumis à une obligation de confidentialité ;
mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 2 ;
n'engager des sous-traitants ultérieurs que dans les conditions prévues à l'article 5 ;
aider le Responsable du traitement à répondre aux demandes d'exercice de droits des personnes concernées ;
notifier toute violation de données dans les 72 heures suivant sa découverte ;
mettre à disposition du Responsable du traitement les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d'audits annuels sur préavis raisonnable ;
au terme du contrat, restituer les données puis les effacer dans les délais prévus aux CGV.

5. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l'Annexe 1. Toute modification (ajout ou remplacement) est notifiée au Client au moins trente (30) jours avant entrée en vigueur, le Client pouvant s'y opposer pour des motifs raisonnables liés à la protection des données.

6. Transferts hors de Suisse / EEE

Les Données Client sont hébergées en Suisse. Lorsque certains sous-traitants ultérieurs sont établis dans des pays tiers, ILYGO met en place les garanties appropriées : Clauses contractuelles types de la Commission européenne, décision d'adéquation, ou mesures supplémentaires conformes à la jurisprudence Schrems II.

7. Responsabilité et indemnisation

Chaque partie répond des dommages causés par un manquement à ses obligations en matière de protection des données, dans les limites fixées par les CGV (article 14) et la législation applicable.

Annexe 1 — Liste des sous-traitants ultérieurs

Sous-traitant	Service fourni	Localisation
Infomaniak Network SA	Hébergement applicatif et stockage	Suisse (Genève)
Stripe Payments Europe Ltd	Traitement des paiements et abonnements	Irlande / UE
Microsoft Ireland Operations Ltd	API Microsoft Graph (envoi/réception d'emails à la demande du Client)	UE
Google Ireland Ltd	API Gmail (envoi/réception d'emails à la demande du Client)	UE
OpenAI Ireland Ltd / Mistral AI / Anthropic Ireland Ltd	Modèles d'intelligence artificielle pour génération de brouillons et classification	UE / clauses contractuelles types pour transferts éventuels

La liste est mise à jour régulièrement. La version la plus récente est disponible sur demande à privacy@ilygo.ch.

Annexe 2 — Mesures techniques et organisationnelles

Confidentialité : authentification forte des collaborateurs, gestion des accès au moindre privilège, séparation stricte des environnements, hébergement multi-tenant cloisonné par schéma PostgreSQL dédié à chaque Client.
Intégrité : journalisation des actions sensibles, contrôle d'intégrité des sauvegardes, intégration continue avec tests automatisés.
Disponibilité : sauvegardes chiffrées quotidiennes, plan de continuité, réplication des données, supervision 24/7.
Chiffrement : TLS 1.2+ pour toutes les communications, chiffrement Fernet (AES-128 CBC + HMAC) des secrets et jetons OAuth au repos.
Sécurité physique : centres de données certifiés ISO 27001, contrôle d'accès biométrique, vidéosurveillance, alimentation redondante.
Personnel : engagement de confidentialité, sensibilisation à la sécurité, contrôle d'antécédents pour les administrateurs.
Suppression : effacement des données dans les 30 jours suivant la résiliation, sauf obligation légale.

Accord de traitement des données (DPA)