GestiClub
Retour à la page

Accord sur le traitement des données personnelles (ATD)

Version : novembre 2025

Parties au contrat

Client (Responsable du traitement) : l’association cliente, ci-après « le Client ».
Sous-traitant : Franco Gaudiano Technologies – FGT3CH, CHE-406.584.174, Faubourg Philippe-Suchard 42, 2017 Boudry (Suisse), éditeur et prestataire du logiciel « GestiClub », ci-après « FGT3CH ».

1) Objet, durée et cadre juridique

1.1 Objet

Le présent accord encadre le traitement de données personnelles par FGT3CH pour le compte du Client, dans le cadre de la fourniture du logiciel GestiClub (SaaS) et des services associés. Le Client demeure seul responsable du contenu, de la licéité et des finalités des traitements qu’il détermine et configure dans GestiClub (p. ex. gestion des membres, inscriptions, facturation, comptabilité, communications). FGT3CH traite exclusivement sur instructions documentées du Client et dans les limites du contrat principal (CGV).

1.2 Durée

La durée du présent accord suit celle du contrat principal. La résiliation de l’un emporte résiliation de l’autre. En cas de manquement non intentionnel et non dû à une négligence grave, le Client fixe d’abord un délai raisonnable pour remédier au manquement. Le droit à la résiliation extraordinaire pour justes motifs demeure réservé.

1.3 Cadre juridique applicable

Lorsque le Client est établi dans l’EEE ou traite des données de personnes s’y trouvant, le RGPD s’applique. Établie en Suisse, FGT3CH respecte la LPD/OLPD suisses et met en œuvre, le cas échéant, les garanties requises pour les traitements soumis au RGPD.

1.4 Lieu du traitement et transferts

Les données sont hébergées en Suisse chez Kreativ Media GmbH (CH-8008 Zurich). La Suisse bénéficie d’une décision d’adéquation de l’UE. Tout transfert vers un pays sans décision d’adéquation n’intervient qu’en présence de garanties appropriées (p. ex. Clauses Contractuelles Types).

2) Description du traitement

2.1 Portée, nature et finalité

Finalité principale : gestion d’associations et de clubs via GestiClub (membres/familles, inscriptions cours/événements, communication, facturation/cotisations, comptabilité associative, documents, statistiques). Les traitements effectifs dépendent des modules activés et paramètres définis par le Client.

2.2 Catégories de données personnelles

  • Identification & contact : nom, adresse, e-mail, téléphone.
  • Profil d’adhésion : catégories, groupes, rôles, historiques.
  • Données financières/facturation : cotisations, factures, paiements, IBAN/coordonnées fournis par le Client.
  • Données d’activité : inscriptions, présences, résultats/tests (si module activé).
  • Journaux techniques & métadonnées nécessaires au fonctionnement et à la sécurité.

2.3 Catégories de personnes concernées

Membres/bénéficiaires, responsables légaux, prospects, participants/inscrits, bénévoles, coachs/moniteurs, collaborateurs du Client, fournisseurs/partenaires, et plus généralement toute personne dont les données sont traitées par le Client via GestiClub.

3) Mesures techniques et organisationnelles (MTO)

FGT3CH maintient des MTO appropriées (état de la technique, coûts, nature/portée/contexte/finalités).

3.1 Confidentialité & contrôle d’accès

  • Authentification par mot de passe (hachage), rôles/permissions applicatives.
  • Gestion des sessions, verrouillage après échecs, journaux d’accès pertinents.
  • Accès restreint au personnel FGT3CH (besoin d’en connaître), engagements de confidentialité.

3.2 Intégrité & traçabilité

  • Traçabilité des opérations importantes (lorsque le journal est activé).
  • Contrôles applicatifs contre l’altération non autorisée.

3.3 Chiffrement & transmissions

  • HTTPS/TLS pour l’application.
  • E-mails sous TLS lorsque supporté ; SPF/DKIM/DMARC déployés côté domaine.

3.4 Disponibilité & résilience

  • Hébergement en Suisse, pare-feu, supervision/mises à jour.
  • Sauvegardes régulières & procédures de restauration, supervision externe.
  • Plans d’escalade et d’intervention incident.

3.5 Séparation logique

  • Isolation stricte des données par association (applicatif & base de données).

3.6 Sous-traitants d’infrastructure

  • Hébergeur : Kreativ Media GmbH (CH) ; autres sous-traitants techniques éventuels.
  • Liste à jour fournie sur demande : support@gesticlub.ch.

4) Droits des personnes & assistance

FGT3CH redirige sans délai vers le Client toute demande d’exercice de droits (accès, rectification, effacement, opposition, portabilité, limitation). À la demande du Client, et dans la mesure du raisonnable, FGT3CH l’assiste (sécurité, notification de violations, AIPD), moyennant, le cas échéant, facturation si cela dépasse le périmètre des services souscrits.

5) Obligations de FGT3CH (Sous-traitant)

  • Traiter uniquement sur instructions documentées du Client et aux seules fins contractuelles.
  • Garantir la confidentialité des personnes autorisées et leur sensibilisation.
  • Mettre en œuvre et maintenir les MTO décrites.
  • Tenir un registre des activités pour le compte du Client si requis.
  • Informer sans délai indu le Client en cas de violation de données à caractère personnel.
  • Ne recruter des sous-traitants ultérieurs qu’avec des engagements équivalents et information préalable.
  • Coopérer de bonne foi lors d’audits raisonnables (art. 7).

6) Sous-traitance ultérieure

Le Client autorise FGT3CH à recourir à des sous-traitants ultérieurs soumis à des obligations équivalentes. FGT3CH informe préalablement le Client de tout changement significatif et permet une objection motivée. En cas d’objection non résolue, le Client peut résilier selon les modalités contractuelles.

7) Droits de contrôle & audits

Sur préavis raisonnable, le Client peut conduire (à ses frais) des audits raisonnables et non intrusifs pendant les heures ouvrables, directement ou via un auditeur indépendant non concurrent, sous réserve de la confidentialité et de la sécurité. FGT3CH peut fournir des preuves adéquates (rapports/tests/attestations) en substitution à un audit sur site si cela permet une vérification suffisante des MTO.

8) Gestion des incidents & notifications

FGT3CH notifie sans délai indu le Client après connaissance d’une violation de données affectant les données du Client et partage les informations disponibles. FGT3CH coopère pour permettre au Client de remplir ses éventuelles obligations de notification (autorités, personnes concernées).

9) Instructions du Client

Les instructions générales s’expriment via la configuration et l’usage des fonctionnalités de GestiClub. FGT3CH peut refuser une instruction manifestement illicite et en informe le Client. Les demandes spécifiques de suppression doivent émaner d’une personne habilitée et être écrites.

10) Fin de contrat — restitution & suppression

À l’issue du contrat, et sur instruction du Client, FGT3CH supprime les données personnelles traitées pour son compte (y compris les sauvegardes dans des délais opérationnels raisonnables), sauf obligation légale de conservation. Il appartient au Client d’exporter et de sécuriser ses données avant la date de fin.

11) Divers

En cas de conflit entre le présent ATD et le contrat principal (CGV), les dispositions RGPD/LPD prévalent pour la protection des données. Pour le surplus, limitations de responsabilité, droit applicable et for des CGV demeurent inchangés.

Annexe — MTO (synthèse)

  1. Contrôle d’accès physique : centres de données en Suisse (contrôle d’accès, surveillance).
  2. Contrôle d’accès logique : authentification, hachage, rôles/permissions, blocage après échecs.
  3. Journalisation : journaux techniques, traçabilité des opérations importantes.
  4. Transports : HTTPS/TLS ; e-mails sous TLS ; SPF/DKIM/DMARC.
  5. Sauvegardes & reprise : sauvegardes régulières, tests de restauration, escalade incident.
  6. Séparation : isolation stricte par association (applicatif & BDD).
  7. Sous-traitants : engagements équivalents, information préalable en cas de changement significatif.
  8. Amélioration continue : correctifs de sécurité, supervision, revue de risques périodique.

Références (informatives)

  • RGPD – Règlement (UE) 2016/679 (art. 28) — EUR-Lex
  • Décision d’adéquation UE–Suisse (et révisions) — EUR-Lex
  • Clauses contractuelles types (UE 2021/914) — EUR-Lex
  • Suisse – LPD/OLPD — Fedlex