Contrat de traitement des données (DPA)
Version du 24 fevrier 2026 — Conforme a la nLPD (Loi federale sur la protection des données)
1. Objet
Le présent contrat regit le traitement des données personnelles effectue par VMAX Badge (sous-traitant) pour le compte de l'entreprise cliente (responsable du traitement), conformément à la nLPD et a l'OPDo.
2. Données traitees
| Categorie | Données | Finalite | Duree de conservation |
|---|---|---|---|
| Identite employé | Nom, prenom, date de naissance, nationalite | Gestion du personnel | Duree du contrat + 60 jours |
| Coordonnées | Adresse, email, telephone | Communication | Duree du contrat + 60 jours |
| Données bancaires | IBAN, numéro AVS (chiffres) | Versement salaire, cotisations | 10 ans (CO art. 958f) |
| Géolocalisation | Coordonnées GPS au moment du badge | Vérification du lieu de travail | 90 jours |
| Heures de travail | Pointages entrée/sortie, durees | Calcul heures et salaire | 5 ans (CO art. 73) |
| Fiches de paie | Salaire brut/net, cotisations | Remuneration | 10 ans (CO art. 958f) |
| Logs d'audit | Actions effectuees dans le système | Tracabilite, sécurité | 10 ans |
3. Lieu de traitement
Toutes les données sont exclusivement traitees et stockees sur des serveurs situes en Suisse. Aucun transfert de données vers un pays tiers n'est effectue.
4. Mesures de sécurité
- Chiffrement des données sensibles en base (IBAN, AVS) via Fernet/AES-256
- Connexions HTTPS uniquement (HSTS active)
- Authentification JWT avec rotation des tokens
- Separation des données par entreprise (Row Level Security PostgreSQL)
- Journalisation de tous les accès aux données sensibles
- Mots de passe haches avec bcrypt
5. Droits des personnes concernees
Conformément a la nLPD :
- Droit d'accès (art. 25) : L'employé peut consulter ses données via l'application ou demander un export complet
- Droit de rectification : Le dirigeant peut corriger les données de ses employés à tout moment
- Droit a l'effacement (art. 32) : L'employé peut demander la suppression de ses données. L'anonymisation est effectuee sous 30 jours, sauf obligations legales de conservation
- Droit a la portabilite (art. 28) : Export des données en format JSON telechargeables
6. Sous-traitance
VMAX Badge n'utilise aucun sous-traitant pour le traitement des données personnelles. L'hébergement est assure sur infrastructure propre en Suisse.
7. Notification de violation
En cas de violation de la sécurité des données, VMAX Badge informera le responsable du traitement dans les plus brefs delais et au maximum dans les 72 heures suivant la decouverte de l'incident, conformément à la nLPD art. 24.
8. Fin du contrat
A la fin de la relation contractuelle :
- Les données personnelles sont exportables pendant 60 jours
- Passe ce delai, les données sont anonymisees puis supprimées
- Les données soumises a des obligations legales de conservation sont conservees pour la duree requise (fiches de paie : 10 ans, logs : 10 ans)
9. Contact
Pour toute question relative au traitement des données : contact@vmaxbadge.ch