Accord sur le Traitement des Données Personnelles (DPA) - janvier 2026

Entre : Le Client, utilisateur des services , agissant en qualité de Responsable de traitement.
Et : Dupraz Informatique Sàrl, Place de la Gare 9, 1260 Nyon, agissant en qualité de Sous-traitant (ci-après l'Éditeur).

1. Objet et champ d'application

Le présent contrat définit les conditions dans lesquelles l'Éditeur s'engage à effectuer, pour le compte du Client, les opérations de traitement de données personnelles nécessaires à la fourniture du service SaaS .

2. Nature et Finalité du traitement

Les données sont traitées uniquement pour les finalités suivantes :

  • Gestion du dossier médical des patients.
  • Gestion de la facturation médicale et/ou de services.
  • Prise de rendez-vous en ligne et gestion de l'agenda professionnel.
  • Maintenance et optimisation : Traitement technique des données pour l'amélioration de la fiabilité du service, l'optimisation des processus de traitement automatisé (ex: indexation et tri documentaire) et la mise au point de nouvelles fonctionnalités.

3. Catégories de données traitées

L'Éditeur est amené à stocker et traiter les catégories de données suivantes :

  • Données du professionnel de santé

    Genre, nom, prénom, numéros d'identifiants fédéraux (RCC, GLN), coordonnées bancaires, numéro de contrat avec des Tiers.

  • Données des patients

    Genre, nom, prénom, coordonnées, assurance, données de santé hautement sensibles (diagnostics, rapports, imagerie).

4. Obligations de l'Éditeur (Sous-traitant)

L'Éditeur s'engage à :

  • Assistance

    L’Éditeur assiste le Client, dans la mesure du possible, pour répondre aux demandes d’exercice des droits des patients (accès, rectification, portabilité).

  • Instructions

    Traiter les données uniquement sur instruction du Client et pour la bonne exécution du service, incluant les phases de tests techniques nécessaires à la garantie de performance et de sécurité du logiciel.

  • Confidentialité

    Garantir que tout le personnel autorisé à traiter les données est soumis au Secret Professionnel strict (Art. 321 du Code pénal suisse).

  • Souveraineté

    L’hébergement de l’infrastructure logicielle et des bases de données médicales est assuré exclusivement par l’Éditeur sur ses propres serveurs en Suisse.

  • Localisation et Transferts

    L'intégralité du stockage des données est situé en Suisse.
    Pour l'exécution de fonctions optionnelles activées par le Client (ex: SMS, facturation électronique, paiements), l’Éditeur peut faire appel à des sous-traitants ultérieurs spécialisés. La liste de ces partenaires est maintenue à jour dans la Déclaration de Protection des Données (DPD).

  • Protection des transferts

    Aucun transfert de données de santé hors de Suisse n'est effectué par l'Éditeur.
    Les transferts limités de données administratives (ex: facturation SaaS, notifications techniques) vers les partenaires cités au point 8 de la DPD sont encadrés par des garanties de confidentialité appropriées.

5. Mesures Techniques et Organisationnelles (MTO)

Conformément à l'Art. 8 nLPD, l'Éditeur met en œuvre les mesures suivantes :

  • Chiffrement

    Flux sécurisés (HTTPS/TLS) et données chiffrées au repos (Encryption at rest).

  • Cloisonnement des accès

    Mécanismes applicatifs garantissant l'étanchéité stricte des données entre chaque cabinet. Aucun utilisateur ne peut accéder aux données d'un autre client, conformément aux règles de sécurité du logiciel.

  • Disponibilité

    Politique de sauvegarde quotidienne répliquée sur trois sites géographiques distincts en Suisse.

  • Sécurité des accès

    Authentification forte (2FA) et journalisation des accès techniques.

  • Fin de vie du matériel

    Accès aux serveurs restreint au personnel autorisé.
    Tout support de stockage (disques durs, SSD) contenant ou ayant contenu des données de santé est physiquement détruit dès qu'il quitte l'infrastructure active, que ce soit pour cause de défaillance technique, d'obsolescence ou de remplacement préventif. Aucun support n'est retourné au fabricant (garantie "Non-Returnable Disk") ni revendu sur le marché de l'occasion.

6. Notification des violations de données

L'Éditeur s'engage à notifier le Client par écrit de toute violation de la sécurité des données (accès non autorisé, perte ou fuite) dans un délai maximal de 48 heures ouvrées après en avoir pris connaissance. Cette notification doit permettre au Client de remplir ses propres obligations de signalement auprès du Préposé fédéral (IFPDT).

7. Sort des données et conservation

Période d'activité
Les données sont conservées tant que l'abonnement est actif.

Fin de contrat
Lors de la résiliation, les données patients sont conservées de manière sécurisée pendant 10 ans (durée légale de conservation des dossiers médicaux en Suisse), sauf instruction contraire écrite du Client demandant une suppression immédiate sous sa propre responsabilité.

Restitution
Le Client peut exporter ses données à tout moment via les outils mis à disposition dans l'interface de l'application.

8. Droit d'audit

L'Éditeur permet la réalisation d'audits de sécurité par le Client ou un Tiers mandaté (limité à un audit annuel, moyennant un préavis de 30 jours et à la charge exclusive du Client). L'audit doit s'effectuer durant les heures de bureau et ne pas perturber la continuité du service pour les autres usagers.

9. Droit applicable et For juridique

Le présent contrat est régi par le droit suisse. En cas de litige, le for juridique exclusif est à Nyon, Suisse.

Vous cherchez une consultation médicale ? Cliquez ici pour accéder à l'annuaire.
Copyrights © 2016 - 2026 All Rights Reserved by Dupraz Informatique Sàrl.
CGU/CGV / Protection des données / Contrat de sous-traitance (DPA)