Essai gratuit Essai
§99 Légal REF. ARKSTOCK-LEGAL-DPA

Accord de traitement des données (DPA)

Dernière mise à jour : 14 avril 2026.

Dernière mise à jour : 14 avril 2026

Le présent Accord de traitement des données (« DPA ») est conclu entre le Client (ci-après le « Responsable ») et ark.swiss sàrl (ci-après « ark.swiss sàrl »). Il forme une annexe indissociable des Conditions générales d'utilisation (« CGU ») et s'applique dès l'acceptation de celles-ci. Il est rédigé conformément à l'article 28 du Règlement général sur la protection des données (RGPD) et à l'article 9 de la loi fédérale sur la protection des données (LPD révisée).

1. Parties

  • Responsable de traitement : le Client identifié lors de la souscription au Service ark.stock.
  • Sous-traitant : ark.swiss sàrl, CHE-139.880.181, Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse.

2. Objet et champ d'application

Le présent DPA régit le traitement, par ark.swiss sàrl, de données à caractère personnel pour le compte du Responsable dans le cadre de l'exploitation de la suite ark.stock (produits ark.stock Compta, ark.stock Fiduciaire et, à venir, ark.stock Budget). Il s'applique à toutes les données personnelles contenues dans l'Instance du Responsable, à l'exclusion des données que ark.swiss sàrl traite pour ses propres finalités (compte d'administration, facturation, sécurité du Service).

3. Détails du traitement

3.1 Nature et finalité

ark.swiss sàrl traite les données à la seule fin d'héberger et d'opérer l'Instance mise à disposition du Responsable, conformément aux CGU et aux instructions documentées du Responsable.

3.2 Catégories de personnes concernées

  • Collaborateurs et utilisateurs du Responsable
  • Clients, mandants et contacts du Responsable (données de tiers)
  • Fournisseurs et partenaires du Responsable
  • Prospects introduits dans l'Instance

3.3 Catégories de données

  • Données d'identité (nom, prénom, email, téléphone, adresse)
  • Données comptables et fiduciaires (écritures, pièces justificatives, soldes, TVA)
  • Données transactionnelles (factures, paiements, relevés bancaires)
  • Données budgétaires personnelles ou professionnelles (ark.stock Budget)
  • Notes, pièces jointes et historique d'interactions saisis par le Responsable
  • Identifiants techniques (logs d'accès, session IDs)

ark.swiss sàrl ne traite, pour le compte du Responsable, aucune donnée sensible au sens de l'art. 5 let. c LPD ou de l'art. 9 RGPD en version initiale du Service. Si le Responsable en introduisait, il s'engage à en informer préalablement ark.swiss sàrl.

3.4 Durée du traitement

Le traitement s'applique pendant toute la durée du contrat de Service, ainsi que pendant les 90 jours de conservation post-résiliation prévus à l'art. 13 ci-dessous, et au-delà pour les durées de conservation légales (notamment factures émises par ark.swiss sàrl, art. 958f CO).

4. Obligations du Responsable

  • S'assurer de la licéité du traitement et disposer d'une base légale adéquate au sens des art. 31 LPD et 6 RGPD.
  • Informer ses propres personnes concernées conformément aux art. 19 LPD et 13 RGPD.
  • Respecter les droits des personnes concernées en première ligne (accès, rectification, effacement, portabilité, opposition).
  • Donner à ark.swiss sàrl des instructions écrites lorsque cela est nécessaire, et en garantir la légalité.
  • Paramétrer correctement les droits d'accès de ses utilisateurs dans l'Instance.

5. Obligations de ark.swiss sàrl (art. 28 RGPD, art. 9 LPD)

  • Licéité des instructions : ne traiter les données que sur instruction documentée du Responsable, sauf obligation légale impérative (auquel cas ark.swiss sàrl informe le Responsable, à moins que la loi ne l'interdise).
  • Confidentialité : garantir que le personnel habilité est soumis à une obligation de confidentialité contractuelle et, le cas échéant, légale.
  • Sécurité : mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 6 ci-dessous.
  • Sous-sous-traitance : ne recourir qu'aux sous-sous-traitants autorisés à l'article 7 ; notifier toute modification avec un préavis permettant au Responsable de s'opposer.
  • Assistance : assister le Responsable dans l'accomplissement de ses obligations — réponse aux demandes des personnes concernées, analyses d'impact (AIPD), consultations préalables de l'autorité — dans une mesure raisonnable et proportionnée.
  • Notification de violation : notifier le Responsable sans délai injustifié et au plus tard dans les 72 heures suivant la prise de connaissance d'une violation (art. 8 ci-dessous).
  • Suppression ou restitution : en fin de contrat, selon les instructions du Responsable, lui restituer les données ou les supprimer (art. 9 ci-dessous).
  • Documentation : mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA.

6. Mesures techniques et organisationnelles (TOM)

La liste complète des mesures est publiée et tenue à jour sur la page Sécurité. En synthèse :

  • Chiffrement en transit : TLS 1.3 activé par défaut (TLS 1.2 minimum), HSTS avec preload, certificats Let's Encrypt renouvelés automatiquement.
  • Chiffrement au repos : AES-256-GCM pour les credentials, tokens OAuth, secrets ; chiffrement de volume au niveau de l'hébergeur Infomaniak.
  • Authentification : hachage des mots de passe en Argon2id (paramètres OWASP recommandés), MFA obligatoire sur les comptes administrateurs ark.swiss sàrl.
  • Isolation single-tenant : chaque Instance dans un container Docker dédié, réseau bridge isolé, base de données PostgreSQL séparée.
  • Sauvegardes : stratégie GFS (Grandfather-Father-Son) — sauvegardes quotidiennes (7j), hebdomadaires (4 sem.), mensuelles (12 mois), chiffrées, tests de restauration trimestriels.
  • Contrôle d'accès : principe du moindre privilège, revue trimestrielle des droits, séparation des environnements (prod / staging / dev).
  • Journalisation : audit logs applicatifs et d'accès conservés 12 mois, revue mensuelle des accès privilégiés.
  • Gestion des incidents : procédure documentée, responsable identifié, runbook de réponse, temps de réaction cible < 4 heures en heures ouvrées.
  • Formation : formation annuelle du personnel à la protection des données et à la sécurité.
  • Gestion des sous-sous-traitants : revue semestrielle, clauses DPA alignées (flow-down), évaluation des mesures de sécurité.
  • Effacement sécurisé : purge définitive 90 jours post-résiliation, à l'exclusion des obligations comptables légales.

7. Sous-sous-traitants autorisés

Le Responsable autorise ark.swiss sàrl à recourir aux sous-sous-traitants suivants pour les finalités indiquées :

NomPaysRôleBase du transfert
Infomaniak Network SAGenève, SuisseHébergement applicatif, base de données, SMTP transactionnelSuisse — pays bénéficiant d'une décision d'adéquation (UE) et pays tiers adéquat (Suisse)
Stripe Payments Europe Ltd.Dublin, IrlandeEncaissement des paiements par carteUE — marché unique
Cloudflare, Inc.San Francisco, États-UnisCDN, DNS, WAF, protection anti-DDoSClauses contractuelles types (CCT) UE + EU-US Data Privacy Framework
OpenAI Ireland Ltd.Dublin, IrlandeModèles IA pour catégorisation comptable et assistance (activation optionnelle par le Responsable)UE — avec engagement contractuel d'opt-out d'entraînement
Anthropic Ireland Ltd.Dublin, IrlandeModèles IA pour assistance et rédaction (activation optionnelle)UE — avec engagement contractuel d'opt-out d'entraînement
Google Cloud EMEA Ltd.Dublin, IrlandeModèles IA complémentaires (activation optionnelle)UE — avec engagement contractuel d'opt-out d'entraînement
Umami (auto-hébergé par ark.swiss sàrl)SuisseMesure d'audience sans cookies sur arkstock.chSuisse (sous la responsabilité directe de ark.swiss sàrl)

Tout nouveau sous-sous-traitant sera notifié au Responsable avec un préavis de 30 jours (liste publique maintenue dans le présent DPA et sur la page Politique de confidentialité). Le Responsable dispose d'un droit d'opposition motivé ; en cas d'objection raisonnable non résolue, le Responsable pourra résilier le contrat sans frais.

8. Notification de violation

En cas de violation de la sécurité des données concernant les données traitées pour le compte du Responsable, ark.swiss sàrl notifie le Responsable sans retard injustifié et au plus tard dans les 72 heures suivant la prise de connaissance. La notification contient, dans la mesure disponible :

  • la nature de la violation, les catégories et le nombre approximatif de personnes concernées ;
  • les catégories et le nombre approximatif d'enregistrements de données concernés ;
  • les conséquences probables et les mesures prises ou proposées pour y remédier ;
  • les coordonnées d'un point de contact pour plus d'informations.

ark.swiss sàrl coopère avec le Responsable pour la notification éventuelle à l'autorité de contrôle compétente (PFPDT, CNIL, etc.) et, si nécessaire, aux personnes concernées (art. 24 LPD, art. 33-34 RGPD).

9. Transferts internationaux

Les données applicatives du Responsable sont hébergées exclusivement en Suisse. Les transferts vers l'Union européenne (Stripe, OpenAI, Anthropic, Google Cloud EMEA) sont couverts par le marché unique et, pour la Suisse, par la reconnaissance d'adéquation mutuelle. Le transfert vers Cloudflare (États-Unis) est encadré par les clauses contractuelles types (CCT) adoptées par la Commission européenne dans leur version de 2021, complétées par des mesures supplémentaires (chiffrement, minimisation), ainsi que, subsidiairement, par le EU-US Data Privacy Framework.

10. Droit d'audit

Le Responsable dispose d'un droit d'audit de ark.swiss sàrl afin de vérifier le respect du présent DPA. Modalités :

  • Audit documentaire : une fois par an, gratuit — ark.swiss sàrl répond aux questionnaires de sécurité raisonnables (CAIQ, SIG) dans un délai de 30 jours.
  • Audit sur site : possible sur préavis écrit de 30 jours, limité à un par an, à la charge du Responsable, sous réserve d'un accord mutuel de confidentialité (NDA) préalable et dans des conditions ne compromettant pas la sécurité ou la confidentialité des autres clients.
  • Audit par un tiers : possible après accord sur le choix du cabinet (indépendant et qualifié) et à la charge du Responsable.

ark.swiss sàrl pourra substituer, à une inspection sur site, un rapport d'audit indépendant récent (type ISAE 3000, SOC 2, ISO 27001) si disponible et jugé suffisant par le Responsable.

11. Suppression ou restitution

À la fin du contrat, sur instruction écrite du Responsable :

  • Export : ark.swiss sàrl met à disposition pendant 90 jours un export dans des formats ouverts (JSON, CSV ; export Crésus natif pour ark.stock Compta).
  • Suppression : passé ce délai, ou sur demande anticipée du Responsable, ark.swiss sàrl supprime de manière définitive les données de l'Instance ainsi que les sauvegardes après leur cycle de rétention normal.
  • Exception légale : les factures émises par ark.swiss sàrl au Responsable sont conservées 10 ans conformément à l'art. 958f CO, obligation opposable au droit à l'effacement.

Sur demande, ark.swiss sàrl fournit une attestation de suppression signée.

12. Durée et résiliation

Le présent DPA prend effet à l'acceptation des CGU et demeure en vigueur tant que ark.swiss sàrl traite des données personnelles pour le compte du Responsable. Il prend fin de plein droit à l'issue des obligations post-résiliation prévues à l'article 11. Les clauses de confidentialité, de responsabilité et de droit applicable survivent à la fin du DPA.

13. Responsabilité

Chaque partie est responsable de ses propres manquements au présent DPA. La responsabilité de ark.swiss sàrl envers le Responsable est limitée, conformément à l'article 12 des CGU, au montant total des abonnements effectivement payés par le Responsable au cours des 12 mois précédant le fait générateur, sous réserve de l'art. 100 CO (dol, faute grave, atteinte à la vie, à l'intégrité corporelle ou à la santé) et des obligations impératives en matière de protection des données.

14. Droit applicable et for

Le présent DPA est régi exclusivement par le droit suisse. Tout litige sera soumis à la juridiction exclusive des tribunaux de Lausanne, canton de Vaud, sous réserve du for impératif du consommateur prévu à l'art. 35 CPC.

15. Signature et acceptation

L'acceptation des CGU par le Responsable lors de la souscription vaut acceptation du présent DPA (acceptation électronique, horodatée et archivée). Sur demande écrite à privacy@ark.swiss, une version PDF signée bilatéralement peut être fournie pour les besoins des clients dont la gouvernance interne l'exige.

16. Contact protection des données

ark.swiss sàrl n'est pas légalement tenue de désigner un délégué à la protection des données (DPO) au sens de l'art. 37 RGPD. Les demandes relatives au présent DPA, les notifications et les audits sont centralisés au point de contact dédié :

ark.swiss sàrl
Chemin de la Duchesne 13, 1806 St-Légier, canton de Vaud, Suisse
Email : privacy@ark.swiss

En cas de divergence entre les versions linguistiques, la version française fait foi.