Trust
Modèle de contrat de traitement au titre de l'article 28 RGPD et de l'article 9 nLPD. Téléchargez le PDF pour signature.
Télécharger le PDF exécutable
Pour signature, demandez une copie contresignée à privacy@legalaudit.ch. Les modifications substantielles sont notifiées au moins 30 jours à l'avance.
Le présent DPA est conclu entre le Client (Responsable du traitement) et LegalAudit SA, Lugano, Suisse (Sous-traitant). Pour les matières relevant du RGPD UE, LegalAudit agit comme Sous-traitant. Lorsque LegalAudit détermine des moyens techniques strictement nécessaires à la fourniture du service, c'est sur instructions documentées du Responsable.
Données à caractère personnel, Traitement, Responsable, Sous-traitant, Sous-sous-traitant et Autorité de contrôle ont le sens de l'art. 4 RGPD et de l'art. 5 nLPD. "Services" désigne la Cyber Console LegalAudit, la génération de dossiers forensiques, l'Expertise approfondie et le monitoring Enterprise.
Objet : triage technique d'artefacts soumis par le Client (URL, fichiers, archives, emails) et génération de dossiers forensiques. Durée : durée de l'accord de service plus les fenêtres de conservation de la Section 9. Nature : stockage, scan, extraction sandbox, analyse assistée par IA, rendu du dossier.
Personnes concernées : utilisateurs autorisés du Client ; personnes mentionnées dans les preuves soumises (noms, emails, adresses IP, identifiants financiers). Catégories : données d'identification, contacts professionnels, télémétrie technique et toute donnée personnelle contenue dans les preuves.
LegalAudit traité les Données uniquement sur instructions documentées du Responsable, soumet le personnel à la confidentialité, met en oeuvre les mesures de la Section 7, assisté le Responsable pour les obligations art. 32-36 RGPD, supprimé ou restitué les Données en fin d'engagement et met à disposition toutes les informations nécessaires pour démontrer la conformité.
Le Responsable accorde une autorisation générale aux sous-sous-traitants listés sur legalaudit.ch/trust/subprocessors. LegalAudit notifie tout changement au moins 30 jours à l'avance et le Responsable peut s'y opposer pour motif légitime. Les sous-sous-traitants existants sont liés par contrats écrits imposant des obligations substantiellement équivalentes.
Chiffrement en transit (TLS 1.3 avec HSTS preload), au repos (AWS KMS SSE-KMS, chemins isolés par client), journal d'audit WORM chaîné par hash SHA-256, IAM moindre privilège, scan ClamAV de chaque upload, extraction d'archives en sandbox bubblewrap, protection SSRF sur les fetch sortants, MFA obligatoire pour le personnel en production, RBAC et revues d'accès trimestrielles.
LegalAudit notifie le Responsable de toute violation de Données personnelles sans retard injustifié, et dans tous les cas dans les 24 heures suivant sa connaissance, via security@legalaudit.ch. La notification inclut la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées.
LegalAudit assisté le Responsable par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour s'acquitter des obligations du Chapitre III RGPD (accès, rectification, effacement, limitation, portabilité, opposition). Les demandes utilisateurs reçues par LegalAudit sont transmises au Responsable dans les 2 jours ouvrés.
Chat gratuit : 24 heures. Chat payant : 30 jours. Dossiers forensiques : conservés pour la durée de la relation client plus archivage légal. Journaux d'audit : minimum 13 mois (art. 958f CO). À la résiliation, LegalAudit supprimé ou restitué toutes les Données dans les 30 jours, sauf obligation légale.
Résidence primaire en Suisse et UE. Lorsqu'un sous-sous-traitant traité des données hors EEE/Suisse, les transferts s'appuient sur les Clauses Contractuelles Types UE (décision 2021/914) et l'addendum suisse, avec des analyses d'impact des transferts archivées.
Une fois par année civile, avec préavis écrit de 30 jours, le Responsable peut vérifier la conformité au présent DPA par examen de rapports d'audit indépendants (SOC 2, ISO 27001 quand disponibles) ou par audit sur site mené par un tiers convenu sous confidentialité. Les coûts sont à la charge du Responsable sauf en cas de non-conformité substantielle.
La responsabilité est soumise aux limitations du master agreement. Le présent DPA prend effet à la signature, court pour la durée de l'accord sous-jacent et subsiste jusqu'à la suppression ou restitution de toutes les Données.
Le présent DPA est régi par le droit substantiel suisse. For compétent : Lugano, Suisse, sans préjudice des règles impératives des États membres UE protégeant les personnes concernées.
Nature, finalité, durée, catégories de données et de personnes selon les Sections 3 et 4.
Liste à jour sur legalaudit.ch/trust/subprocessors. Les changements sont notifiés via le trust center et par email aux contacts désignés par le Responsable.
Détaillées sur legalaudit.ch/trust/security.
Document informatif publié par LegalAudit SA. Les déclarations reflètent l'état actuel des contrôles et sont révisées trimestriellement. Elles ne constituent pas une garantie contractuelle sauf intégration dans un accord signé. Pour des termes contraignants, demander le DPA contresigné à privacy@legalaudit.ch.