Dernière mise à jour : 01.04.2026
Le présent accord de traitement des données (« DPA ») est un avenant au Service Agreement (« Contrat ») entre Ruler GmbH (« Tale », « nous ») et l’entité ou la personne qui accepte le Contrat (« Client », « tu »). Ce DPA s’applique dans la mesure où Tale traite des données personnelles pour le compte du Client dans le cadre de la fourniture des services.
En exécutant le Contrat, le Client conclut ce DPA en son nom et, dans la mesure requise par le droit applicable, au nom de ses utilisateurs autorisés et sociétés affiliées. Ce DPA prend effet à la date du Contrat.
1. Définitions
Les termes capitalisés non définis ici ont la signification donnée dans le Contrat.
« Droit applicable à la protection des données » : la LPD suisse et ses ordonnances, le RGPD de l’UE, et toute autre législation applicable, telles qu’amendées ou remplacées.
« Responsable du traitement » : l’entité qui détermine les finalités et moyens du traitement. Pour ce DPA, le Client est le Responsable.
« Violation de données » : une violation de sécurité menant à la destruction, perte, altération accidentelles ou illicites, ou à la divulgation ou à l’accès non autorisés aux données personnelles traitées par Tale pour le Client.
« Personne concernée » : la personne physique identifiée ou identifiable à laquelle se rapportent les données.
« Données personnelles » : toute information relative à une personne physique identifiée ou identifiable, traitée par Tale pour le Client dans le cadre des services.
« Traitement » : toute opération ou ensemble d’opérations sur des données personnelles, automatisé ou non — collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion, rapprochement, limitation, effacement, destruction.
« Sous-traitant » : l’entité qui traite des données personnelles pour le Responsable. Pour ce DPA, Tale est le Sous-traitant.
« Sous-traitant ultérieur » : tout tiers engagé par Tale pour traiter des données personnelles pour le Client.
2. Périmètre et finalité
2.1 Rôles
Le Client est Responsable et Tale est Sous-traitant. Tale traite les données personnelles uniquement pour fournir et maintenir les services et selon les instructions documentées du Client.
2.2 Détails du traitement
| Élément | Description |
|---|
| Finalité | Fourniture de la plateforme Tale et des services liés selon le Contrat, y compris automatisation de workflows IA, gestion des conversations et fonctionnalités opérationnelles. |
| Nature | Stockage, extraction, organisation, structuration, calcul, transmission et affichage nécessaires à la fourniture. |
| Catégories de personnes concernées | Déterminées par le Client ; peuvent inclure employés, utilisateurs finaux, clients, prestataires, contacts commerciaux et toute personne dont les données sont soumises. |
| Catégories de données | Déterminées par le Client ; peuvent inclure noms, e-mails, téléphones, informations sur l’entreprise, contenu de messages, conversations, workflows, documents, etc. |
| Durée | Pour la durée du Contrat, plus la période requise pour la restitution ou la suppression (voir section 12). |
2.3 Responsabilités du Client
Le Client s’assure :
a) d’avoir une base légale valable pour le traitement et pour instruire Tale ;
b) d’avoir fourni les informations et obtenu les consentements ou autorisations nécessaires auprès des Personnes concernées ;
c) que ses instructions à Tale sont conformes au droit applicable ;
d) qu’il est seul responsable de l’exactitude, de la qualité et de la légalité des données soumises.
3. Obligations de Tale en tant que Sous-traitant
Tale s’engage à :
a) traiter les données personnelles uniquement sur instructions documentées, sauf obligation légale — auquel cas Tale informe le Client avant le traitement (sauf interdiction légale) ;
b) s’assurer que les personnes autorisées à traiter sont soumises à la confidentialité ;
c) mettre en œuvre des mesures techniques et organisationnelles appropriées (section 6) ;
d) n’engager aucun Sous-traitant ultérieur sans respecter la section 5 ;
e) assister le Client — compte tenu de la nature du traitement — par des mesures appropriées pour répondre aux demandes des Personnes concernées (section 8) ;
f) assister le Client pour la sécurité des données, la notification des violations, les analyses d’impact et les consultations préalables avec les autorités ;
g) au choix du Client, supprimer ou restituer toutes les données personnelles à la fin des services (section 12) ;
h) mettre à disposition du Client toutes les informations nécessaires pour démontrer la conformité et permettre les audits (section 9).
4. Instructions du Client
4.1 Instructions documentées
Le Client instruit Tale de traiter les données dans la mesure nécessaire à la fourniture du Contrat. Les instructions additionnelles ou différentes doivent être convenues par écrit.
4.2 Instructions contradictoires
Si Tale constate qu’une instruction du Client viole le droit applicable, Tale notifie rapidement le Client et peut suspendre le traitement concerné jusqu’à réception d’une instruction licite.
5. Sous-traitants ultérieurs
5.1 Autorisation générale
Le Client autorise de manière générale Tale à engager des Sous-traitants ultérieurs. Tale maintient une liste à jour, disponible sur demande.
5.2 Notification des changements
Tale informe le Client au moins 30 jours avant d’engager un nouveau Sous-traitant ultérieur ou d’en remplacer un, par mise à jour de la liste et, si le Client a souscrit, par e-mail.
5.3 Droit d’opposition
Le Client peut s’opposer à un nouveau Sous-traitant ou à son remplacement dans les 30 jours suivant la notification, par écrit, sur des motifs raisonnables liés à la protection des données. En cas d’opposition, Tale fait des efforts commercialement raisonnables pour proposer une alternative évitant le Sous-traitant contesté. Sans résolution dans les 30 jours, chaque partie peut résilier les services concernés.
5.4 Obligations des Sous-traitants ultérieurs
Quand Tale engage un Sous-traitant ultérieur, Tale :
a) lui impose par contrat écrit des obligations de protection des données au moins équivalentes à celles du DPA ;
b) reste pleinement responsable envers le Client.
6. Mesures techniques et organisationnelles
6.1 Mesures de sécurité
Tale met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les données contre un traitement non autorisé ou illicite et contre la perte, destruction, dommage ou divulgation accidentels, notamment :
a) chiffrement en transit et au repos ;
b) mesures pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services ;
c) moyens de restaurer la disponibilité et l’accès aux données en temps utile après un incident ;
d) contrôles d’accès assurant l’accès uniquement au personnel autorisé selon le besoin d’en connaître ;
e) tests, évaluations et examens réguliers de l’efficacité des mesures ;
f) mesures physiques pour les centres de données et l’infrastructure ;
g) formation à la sensibilisation à la sécurité des employés.
6.2 Certifications
Tale maintient les certifications ISO 27001 et SOC 2 Type II. Tale les conserve (ou des standards équivalents) et fournit la preuve de certification actuelle sur demande raisonnable.
6.3 Mises à jour
Tale peut mettre à jour ses mesures de sécurité, à condition que le niveau global de protection ne soit pas significativement réduit.
7. Notification de violation
7.1 Notification au Client
Tale notifie le Client sans retard injustifié, et en tout cas dans les 72 heures après en avoir pris connaissance, de toute violation affectant les données traitées pour le Client.
7.2 Contenu de la notification
La notification inclut, dans la mesure raisonnablement disponible :
a) une description de la nature de la violation, avec si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrements ;
b) les coordonnées du point de contact Tale ;
c) les conséquences probables ;
d) les mesures prises ou proposées pour y remédier, y compris pour atténuer les effets négatifs.
7.3 Coopération
Tale coopère avec le Client et fait les démarches commercialement raisonnables pour l’aider à enquêter, contenir et remédier.
7.4 Limites de la notification
La notification par Tale ne vaut pas reconnaissance de faute. Le Client est seul responsable pour déterminer si une violation déclenche des obligations de notification selon le droit applicable et pour les remplir.
8. Droits des personnes concernées
8.1 Assistance
Tale assiste le Client — compte tenu de la nature du traitement — par des mesures techniques et organisationnelles appropriées pour répondre aux demandes de Personnes concernées (droits d’accès, rectification, effacement, limitation, portabilité, opposition).
8.2 Transfert des demandes
Si Tale reçoit une demande directement d’une Personne concernée, Tale la transfère rapidement au Client et ne répond pas directement, sauf instruction du Client ou exigence légale.
8.3 Frais
Lorsque l’assistance demande un effort significatif au-delà du raisonnable, Tale peut facturer une somme raisonnable basée sur ses coûts administratifs.
9. Audits
9.1 Rapports d’audit
Tale met à disposition du Client, sur demande raisonnable et au plus une fois par an, les rapports d’audit tiers pertinents ou certifications (SOC 2 Type II, ISO 27001) pour démontrer la conformité.
9.2 Audits complémentaires
Si le Client estime raisonnablement que les informations fournies en 9.1 sont insuffisantes, il peut demander un audit complémentaire. Ces audits sont :
a) aux frais du Client (sauf si l’audit révèle une violation substantielle par Tale) ;
b) annoncés au moins 30 jours à l’avance ;
c) réalisés en horaires ouvrables et de manière à minimiser la perturbation ;
d) réalisés par le Client ou un auditeur tiers indépendant non concurrent de Tale et soumis à des obligations de confidentialité ;
e) limités au traitement des données personnelles du Client.
9.3 Confidentialité
Tout rapport, constat ou information obtenus dans le cadre d’un audit sont traités comme confidentiels pour Tale et soumis aux dispositions de confidentialité du Contrat.
10. Transferts internationaux
10.1 Lieux de traitement
Tale traite les données principalement en Suisse. Quand le Client déploie Tale sur sa propre infrastructure (on-premises ou cloud privé), le Client détermine le lieu de traitement.
10.2 Transferts vers pays adéquats
Tale peut traiter des données dans des pays reconnus par le Conseil fédéral suisse (art. 16 LPD) ou par la Commission européenne (art. 45 RGPD) comme offrant un niveau adéquat de protection.
10.3 Garanties pour les autres transferts
Tale ne transfère pas de données vers des pays sans niveau adéquat sauf en présence de garanties appropriées, comme les Clauses Contractuelles Types approuvées par la Commission européenne ou reconnues par le PFPDT, ou d’autres mécanismes légalement reconnus.
10.4 Transparence
Les lieux actuels de traitement et les mécanismes de transfert sont décrits dans la liste de Sous-traitants ultérieurs mentionnée en 5.1.
11. Confidentialité
Tale traite toutes les données personnelles sous ce DPA comme confidentielles. Cette obligation survit à la résiliation du DPA et du Contrat. Tale s’assure que tout le personnel avec accès est soumis à des obligations de confidentialité appropriées.
12. Conservation et suppression
12.1 Pendant le Contrat
Tale conserve les données pour la durée du Contrat et selon les instructions documentées du Client.
12.2 À la résiliation
À la résiliation ou expiration du Contrat, Tale, sur demande écrite du Client :
a) restitue toutes les données dans un format couramment utilisé et lisible par machine ; ou
b) supprime toutes les données de manière sécurisée et fournit une confirmation écrite.
Si le Client ne fait pas de demande écrite dans les 30 jours suivant la résiliation, Tale supprime toutes les données dans les 90 jours suivant la résiliation.
12.3 Conservation légale
Quand la loi applicable exige que Tale conserve certaines données au-delà de la résiliation, Tale en informe le Client, limite le traitement ultérieur à ce que la loi exige et continue à protéger les données selon le DPA.
13. Responsabilité
La responsabilité sous ce DPA est soumise aux limitations et exclusions du Contrat, dans la mesure permise par le droit applicable. Rien dans ce DPA ou le Contrat ne limite ni n’exclut la responsabilité d’une partie pour les dommages résultant d’une violation intentionnelle ou par négligence grave du droit applicable.
14. Relation avec le Contrat
14.1 Prééminence
En cas de conflit entre le DPA et le Contrat, les dispositions du DPA prévalent concernant le traitement des données.
14.2 Incorporation
Ce DPA est intégré et fait partie du Contrat. Toutes les conditions du Contrat non expressément modifiées par le DPA restent en vigueur.
14.3 Divisibilité
Si une disposition est jugée invalide ou inapplicable, les autres restent en vigueur.
15. Droit applicable et for
Ce DPA est régi et interprété selon le droit matériel de la Suisse, à l’exclusion des règles de conflit de lois et de la Convention des Nations unies sur les contrats de vente internationale de marchandises (CVIM).
Tout litige relève de la compétence exclusive des tribunaux compétents du canton de Berne, Suisse, sauf loi impérative contraire.
16. Modifications
Tale peut mettre à jour ce DPA pour refléter des changements dans ses pratiques ou dans le droit applicable. Les changements substantiels sont communiqués à l’avance. L’usage continu des services après entrée en vigueur vaut acceptation.
Pour toute question sur ce DPA ou nos activités de traitement, contacte-nous via notre formulaire de contact.
Ruler GmbH
Seestrasse 4
3700 Spiez
Suisse Last modified on April 19, 2026
