Espace Légal
Télécharger PDF
Accord de Traitement
des Données (DPA)
Dernière mise à jour : 06 Avril 2026 · Conforme LPD & RGPD
L'Accord de Traitement des Données (Data Processing Agreement) établit de manière transparente les responsabilités respectives de KronoApp (en tant que Sous-traitant) et de votre entreprise (en tant que Responsable du traitement) conformément aux exigences légales suisses (LPD) et européennes (RGPD). Pour les traitements propres à KronoApp (facturation, support, sécurité et exploitation du service), KronoApp agit comme responsable du traitement.
✍️
Acceptation : En créant un espace de travail sur KronoApp, l'entreprise cliente accepte électroniquement et sans réserve les termes du présent DPA. Cette acceptation est horodatée et journalisée dans nos systèmes de sécurité.
Art. 1
Objet et champ d'application
Le présent Accord de Traitement des Données (ci-après « DPA ») régit le traitement des données personnelles par KronoApp (le « Sous-traitant ») pour le compte de l'Entreprise cliente (le « Responsable du traitement ») dans le cadre de l'utilisation de la plateforme KronoApp. Il fait partie intégrante des Conditions Générales d'Utilisation (CGU) et de Vente (CGV).
Art. 2
Nature des données traitées
Le Sous-traitant est autorisé à traiter les catégories de données suivantes pour le compte du Responsable du traitement :
- Données d'identification : nom, prénom, email, téléphone, adresse, date de naissance.
- Données professionnelles : rôle, département, taux d'activité, N° AVS, type de permis.
- Données de temps et présence : pointages, horaires planifiés, soldes d'heures, demandes et motifs d'absences.
- Documents RH : contrats, certificats médicaux, fiches de paie (si stockés dans le coffre-fort).
Art. 3
Obligations du Sous-traitant
KronoApp s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable du traitement (l'utilisation de l'application constituant cette instruction).
- Garantir la confidentialité des données traitées.
- Veiller à ce que les personnes autorisées à traiter les données (employés de KronoApp) s'engagent à respecter la confidentialité.
- Héberger l'intégralité des données métiers sur le territoire suisse.
Art. 4
Obligations du Responsable du Traitement
Le Responsable du traitement s'engage à :
- Disposer d'une base légale valable (LPD / RGPD) pour collecter et confier le traitement de ces données au Sous-traitant.
- Informer ses propres collaborateurs de l'utilisation de KronoApp comme outil de gestion RH.
- Gérer les droits d'accès au sein de son propre espace de travail de manière sécurisée.
Art. 5
Sous-traitants ultérieurs
Le Responsable du traitement autorise KronoApp à faire appel aux sous-traitants ultérieurs suivants :
KronoApp informera le Responsable du traitement de tout changement de sous-traitant ultérieur, lui laissant la possibilité de s'y opposer.
- Infomaniak Network SA (Suisse) : Hébergement des bases de données, des fichiers et de l'infrastructure serveur.
- Resend : API d'envoi des emails automatiques et notifications système. Resend peut traiter les adresses email, horodatages, identifiants techniques et métadonnées nécessaires à la délivrabilité. Lorsque ce traitement implique un transfert hors de Suisse ou de l'EEE, KronoApp l'encadre par des garanties contractuelles appropriées, notamment un DPA et des clauses contractuelles types (CCT) lorsque requis.
- Bleemeo (France) : Service de télémétrie technique et monitoring. Aucun contenu RH ou métier n'est transmis.
- Stripe (Monde) : Traitement exclusif des paiements et abonnements (ne traite aucune donnée RH).
KronoApp informera le Responsable du traitement de tout changement de sous-traitant ultérieur, lui laissant la possibilité de s'y opposer.
Art. 6
Sécurité des données (TOMs)
KronoApp met en œuvre les Mesures Techniques et Organisationnelles (TOMs) appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment :
- L'isolation stricte (Multi-tenant) des bases de données de chaque client.
- Le chiffrement des données en transit (TLS 1.3).
- La sauvegarde quotidienne et chiffrée des données.
- L'accès sécurisé à l'application via des mots de passe hachés et la possibilité d'activer le MFA (TOTP).
Art. 7
Violation de données
En cas de violation de données à caractère personnel, KronoApp s'engage à notifier le Responsable du traitement dans les meilleurs délais (idéalement sous 72 heures) après en avoir pris connaissance. La notification décrira la nature de la violation, les conséquences probables et les mesures prises pour y remédier.
Art. 8
Restitution et suppression
Au terme du contrat (résiliation de l'abonnement), KronoApp maintient les données à disposition du Responsable du traitement pour un export pendant une durée de 90 jours.
Passé ce délai, KronoApp s'engage à détruire de manière irréversible toutes les données personnelles du Responsable du traitement, à l'exception des données devant être conservées pour des obligations légales ou comptables (ex: factures Stripe).
Passé ce délai, KronoApp s'engage à détruire de manière irréversible toutes les données personnelles du Responsable du traitement, à l'exception des données devant être conservées pour des obligations légales ou comptables (ex: factures Stripe).
Art. 9
Audits et inspections
KronoApp met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA. L'historique des actions (Audit Logs) est directement accessible dans l'interface d'administration de l'application.
Art. 10
Droit applicable et for juridique
Le présent DPA est soumis au droit suisse. Tout litige relatif à son interprétation ou son exécution sera de la compétence exclusive des tribunaux du canton de Vaud, Suisse.