Petitionenligne.ch

Accord de Traitement des Données (ATD)

Dernière mise à jour : 2026-07-01

Dernière mise à jour de la page des sous-traitants : 2025-12-03

Ce DPA décrit les modalités selon lesquelles nous traitons les données à caractère personnel en votre nom.

Cet Accord de Traitement des Données (Accord) décrit les obligations et les conditions dans lesquelles Petitions.com Group Oy (Fournisseur de Services) traite des données personnelles pour le compte de l'auteur de la pétition (Auteur de la Pétition ou Responsable du Traitement) dans le cadre de la fourniture de services d'hébergement de pétitions en ligne (Services).

Modification des conditions

Nous nous réservons le droit de changer ou de modifier ces Conditions à tout moment sans préavis.

Définitions et Rôles

  • Le Prestataire de services : Petitionenligne.ch (Petitions.com Group Oy), agissant en tant que Sous-traitant, traite des données à caractère personnel pour le compte du Responsable du traitement tel que nécessaire pour fournir les Services.
  • Responsable du traitement des données : L'auteur de la pétition, qui détermine les finalités et les moyens du traitement des données personnelles collectées auprès des signataires de sa pétition. En tant qu'auteur d'une pétition hébergée sur Petitionenligne.ch, vous êtes considéré comme le Responsable du traitement des données. Vous décidez du contenu de la pétition, de ce qui est demandé aux signataires, des finalités du traitement de leurs données personnelles et de la durée de conservation des données personnelles. Petitionenligne.ch fournit une plateforme en ligne pour créer et héberger des pétitions, vous permettant d'exercer votre rôle de Responsable du traitement des données avec l'autonomie de définir la collecte et l'utilisation des données de la pétition selon vos objectifs et obligations légales.

Champ du traitement

The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. Le champ des activités de traitement est limité à l'hébergement, à la gestion et à la facilitation des pétitions en ligne.

As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.

The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.

Protection des données

Le Prestataire de Services s'engage à mettre en œuvre des mesures techniques et organisationnelles pour garantir la sécurité des données à caractère personnel contre tout accès non autorisé, perte ou dommage.

Collecte de données interdite

Il est interdit de demander des numéros d'identification personnelle (tels que les numéros d'identification nationaux) aux signataires.

Sous-traitants

Le Prestataire de Services peut engager des sous-traitants pour aider à fournir les Services. Le prestataire de services s'assurera que les sous-traitants respectent les obligations en matière de protection des données conformément à ce DPA. Vous reconnaissez et acceptez que le fournisseur de services conserve la discrétion de sélectionner et de remplacer les sous-traitants si nécessaire pour fournir les services de manière efficace.

Liste des sous-traitants. (Dernière mise à jour : 2025-12-03)

Responsabilités du Responsable du Traitement

Le Responsable du traitement est responsable de garantir que la collecte, le traitement et la gestion des données à caractère personnel sont conformes à toutes les lois et réglementations applicables.

Identification du Responsable du traitement des données

En vertu du Règlement Général sur la Protection des Données (RGPD), il est requis que l'identité du responsable du traitement soit clairement indiquée. Les dispositions suivantes sont prévues pour les auteurs de pétitions utilisant notre site web :

Auteurs individuels de pétitions

Si vous, en tant qu'individu, créez une pétition, vous devez fournir votre nom légal complet. Cela sert d'identification en tant que responsable du traitement des données aux fins du RGPD.

Auteurs de pétition organisationnels

Si une pétition est créée au nom d'une organisation, le nom légal complet de l'organisation doit être fourni. En outre, l'organisation doit désigner et fournir les coordonnées d'un représentant responsable des activités de traitement des données, tel qu'un Délégué à la Protection des Données (DPD) ou similaire.

Droits des personnes concernées

Le responsable du traitement doit veiller à ce que les personnes concernées (signataires de la pétition) puissent exercer leurs droits en vertu du RGPD, tels que le droit d'accès, de rectification ou d'effacement de leurs données, ou de déposer une plainte auprès d'une autorité de contrôle.

Traitement des demandes d’effacement des personnes concernées émanant des signataires

The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.

Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.

When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.

The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.

Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.

Les journaux techniques peuvent contenir des données à caractère personnel, telles que des adresses IP ou des métadonnées de remise des e-mails. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.

The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.

Handling Rectification Requests from Signatories

The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.

Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.

The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.

Notifying Recipients

Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.

Responsabilité et Conformité

Le responsable du traitement doit être en mesure de démontrer la conformité au RGPD, notamment en répondant aux demandes des personnes concernées concernant leurs données personnelles.

Politique de confidentialité ou Avis

Une politique de confidentialité ou un avis clair et accessible doit être fourni, expliquant comment les données personnelles sont traitées, les finalités du traitement et comment les personnes concernées peuvent exercer leurs droits.

Notification des changements

Les auteurs de pétitions sont tenus de notifier Petitionenligne.ch (Petitions.com Group Oy) de tout changement de statut en tant que responsable du traitement ou des coordonnées de leur représentant.

Révision Annuelle du Traitement des Données

L'auteur de la pétition est tenu de procéder à une révision annuelle pour s'assurer qu'il existe toujours une raison valable de continuer à traiter les données à caractère personnel des signataires. Cette révision doit évaluer la nécessité et la pertinence des données par rapport à l'objectif de la pétition. Si l'Auteur de la Pétition détermine qu'il n'y a plus de raison valable pour continuer à traiter les données, il doit prendre les mesures appropriées pour cesser le traitement et initier la suppression des données conformément aux lois applicables en matière de protection des données.

Use of Up-to-Date Signature Data

Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.

Rétention et Suppression des Données

Si le Responsable du traitement (l'auteur de la pétition) viole les termes du Contrat de traitement des données (DTA), y compris mais sans s'y limiter, en ne réalisant pas une révision annuelle des activités de traitement des données ou en ne fournissant pas une justification valide pour le traitement continu des données personnelles des signataires, le Prestataire de services se réserve le droit de supprimer ou d'effacer les données personnelles associées à leur pétition.

Limitation de responsabilité

En aucun cas, la responsabilité totale du sous-traitant envers le responsable du traitement pour tous les dommages, pertes et causes d'action, que ce soit en vertu d'un contrat, d'un délit (y compris la négligence) ou autrement, ne doit dépasser le montant total payé par le responsable du traitement au sous-traitant en vertu de cet accord.

Loi applicable

Le présent Accord est régi par les lois de la Finlande.