Conditions générales de Service Script & Go
Version à jour du 19 mars 2024
PREAMBULE
La société SCRIPT & GO, société par actions simplifiées au capital de 200 000 euros, dont le siège social est sis à Rennes (Ille et Vilaine – France), 43 square de la Mettrie, , immatriculée au Registre du commerce et des sociétés de Rennes, sous le numéro 530 649 250, représentée par son Président directeur général, Monsieur Benoît Jeannin développe et commercialise des Logiciels dans le domaine du bâtiment (« Les Logiciels »). Ces Logiciels peuvent également faire l’objet de Développements Spécifiques sur demande expresse du Client et avec l’accord écrit préalable du Fournisseur et feront l’objet d’un contrat spécifique.
Le Client s’est vu concéder une licence d’utilisation portant sur un Logiciel Script & Go.
Les présentes conditions générales de service (« CGS ») ont pour objet de fixer les conditions et modalités dans lesquelles Script & Go (« Le Prestataire ») fournit au client (« Le Client ») des services de maintenance et d’hébergement de données en nuage portant sur le ¨Logiciel objet de la licence d’utilisation concédée au Client.
Ces conditions générales de service viennent compléter les Conditions Générales de Vente et pourront le cas échéant être complétées par des conditions spécifiques. Les annexes des présentes CGS font partie intégrante de celles-ci.
Tous les mots employés dans les présentes Conditions Générale de Service et non spécialement définis ont le même sens que ceux employés dans les Conditions Générales de vente.
1 – DEFINITIONS
« Anomalie » : tout dysfonctionnement ou non-conformité du Logiciel par rapport à la Documentation et/ou aux Spécifications, reproductible par le Client, qui empêche le fonctionnement normal de tout ou partie du Logiciel ou qui provoque un résultat incorrect ou un traitement inadapté alors que le Logiciel est utilisé conformément à sa Documentation.
« Conditions générales de vente » : conditions générales de vente des Produits et Services du Prestataire accessibles sur le site internet de celui-ci et que viennent compléter les CGS.
« Contourner ou Contournement » : action consistant, en cas de survenance d’une Anomalie, à modifier le Logiciel et/ou son mode d’utilisation de telle manière que l’Anomalie, bien que subsistante, ne constitue plus un obstacle à l’utilisation du Logiciel.
« Correspondant » : désigne la personne désignée par le Client parmi son personnel ayant la compétence nécessaire, pour centraliser toutes les informations et questions et communiquer avec le Prestataire. Le nom du correspondant sera communiqué au Prestataire par le Client par tout moyen écrit.
« Corriger ou Correction » : action consistant, en cas de survenance d’une Anomalie, à modifier le Logiciel et/ou son mode d’utilisation de telle manière que l’Anomalie n’existe plus. La correction s’effectue par le biais d’un patch ou d’une Mise à jour.
« Développements spécifiques » : ensemble des prestations informatiques, effectuées par le Prestataire, le Client ou par un sous-traitant pour le compte du Client. Ces développements spécifiques ne sont pas couverts par le présent contrat, mais peuvent faire l’objet d’un contrat spécifique.
« Documentation » : désigne la documentation standard fonctionnelle et technique d’exploitation et d’utilisation du Logiciel suffisamment documentée et détaillée, permettant à un Utilisateur novice de se former à l’utilisation du Logiciel et de mettre en œuvre l’intégralité de ses fonctionnalités en ce inclus tous guides et manuels utilisateurs et tout autre document éventuel, sur support numérique, accessible par le Client à partir du Logiciel.
« Incident » : dysfonctionnement du Logiciel provenant soit d’un incident de manipulation de l’Utilisateur soit d’une Anomalie affectant le code. La teneur de l’Incident est identifiée pendant la phase d’assistance par le Prestataire.
« Maintenance » : désigne l’ensemble des prestations et actions assurées par le Prestataire au titre de la maintenance corrective et de la maintenance évolutive afin d’assister le Client en vue de l’utilisation correcte du Logiciel, afin de corriger et d’améliorer le Logiciel.
« Mises à Jour » : modifications successives du Logiciel comportant soit des Corrections d’Anomalies, soit des améliorations techniques et/ou de fonctionnalités, que le Prestataire met à disposition du Client dans le cadre des présentes CGS, en général gratuitement sous réserve de ce qui est mentionné à l’article 4.3 des présentes, si ce dernier est à jour dans le paiement de ses droits de
« Nouvelle version » : nouveau Logiciel ayant le même objet que le précédent, dont le développement repose sur une technologie différente de la version précédente. Les nouvelles versions ne sont pas couvertes par les présentes CGS, mais le Client peut demander à bénéficier d’un nouveau contrat lorsqu’il aura conclu une licence d’utilisation pour la nouvelle version.
« Utilisateur » : personne physique utilisant in fine le Logiciel et qui n’est pas forcément le Client.
2. OBJET DU CONTRAT
Ces conditions générales ont pour but de :
- préciser le niveau de support que le Prestataire garantit au Client dans le cadre du service de Maintenance qu’il propose relativement à l’utilisation du Logiciel, notamment en termes d’assistance, de maintenance corrective et de maintenance évolutive;
- régir les conditions d’accès au service d’hébergement « cloud » proposé par le Prestataire.
3. DUREE DU CONTRAT
Ces conditions générales seront effectives à compter du jour précisé au Bon de Commande et s’appliqueront jusqu’à la date précisée au Bon de Commande, cette période étant égale à une année calendaire au minimum.
A l’expiration de cette période, le contrat sera automatiquement renouvelé pour une durée correspondant à la période allant jusqu’au 31 décembre de l’année en cours, additionnée d’une année civile complète, à moins que l’une des parties décide d’y mettre fin en notifiant à l’autre cette intention au moins quatre-vingt-dix (90) jours avant la fin de la période en cours.
Par exemple, un renouvellement tacite intervenant au cours d’une année civile N portera sur le reste de l’année N ainsi que sur la totalité de l’année N+1, de façon à aligner la durée du contrat sur l’année civile. La résiliation pour la période suivante devra être effectuée 90 jours avant la fin de la période en cours. En l’absence de résiliation, les renouvellements suivants porteront sur l’année civile à venir.
4 – ETENDUE DES PRESTATIONS DU PRESTATAIRE
Les services de Maintenance et d’hébergement fournies par le Prestataire dans le cadre des présentes couvre les prestations suivantes :
4.1. SUPPORT ET ASSISTANCE
Le Prestataire fournit au Client, au titre de la Maintenance, un service de support et d’assistance en ce qui concerne l’utilisation du Logiciel. Le service est ouvert durant les heures ouvrées (entre 9h00 et 17h00 – heure française), en dehors des jours fériés et des jours précédant immédiatement les jours fériés. En dehors de ces heures d’ouverture, le Prestataire fera ses meilleurs efforts pour fournir l’assistance demandée.
Le service d’assistance et de support peut être contacté soit par téléphone au +33 (0) 230 962 060, soit en déposant un ticket sur le site du support, soit par courrier électronique à l’adresse suivante : assistance@scriptandgo.com. Le service d’assistance et de suivi seront fournis en français ou anglais.
Le service d’assistance couvre la maintenance de 1er niveau portant sur les incidents et/ou Anomalies attribuées à une mauvaise utilisation du Logiciel.
Le service d’assistance et de support couvre la maintenance de 2e niveau portant sur les Anomalies ne pouvant être résolues instantanément, ou celles découlant d’un défaut lié à l’installation, mais seulement dans la mesure où le Prestataire a lui-même procédé à l’installation.
Le service d’assistance et de support couvre la maintenance de 3e niveau portant sur les Incidents localisés directement dans le Logiciel qui ne peuvent être corrigés en remplaçant le matériel ou en reconfigurant le Logiciel, ces Anomalies étant localisées directement dans le Logiciel.
Le Client s’engage à ne pas recourir abusivement au support. Le Prestataire se réserve le droit de refuser la prise en charge d’une demande du Client si son comportement ou la fréquence de ses demandes sont de nature à perturber le fonctionnement normal du support.
Le Client reconnait que Script & Go n’assurera le support et l’assistance que pour la génération en cours du Logiciel : toute intervention suppose que le Client aura bien installé les mises à jour proposées précédemment par Script & Go.
4.2. TRAITEMENT DES INCIDENTS
Le Client rapportera par l’intermédiaire du Correspondant qu’il aura désigné, les Incidents du Logiciel au support. Ce Correspondant devra nécessairement avoir été formé sur le Logiciel. Il devra fournir suffisamment d’informations pour permettre au Prestataire de reproduire l’Incident et de connaître le contexte de sa survenance.
Si un incident est communiqué au support durant ses heures d’ouverture, le Prestataire commencera le travail de qualification de l’Incident dans les quatre (4) heures ouvrées suivant l’appel téléphonique ou dans les deux (2) jours ouvrés si ce rapport d’incident a été communiqué par courrier électronique.
Si l’Incident est qualifié d’Anomalie, l’équipe du support fera ses meilleurs efforts pour fournir une solution de Contournement dans les meilleurs délais.
Des rapports de progression seront régulièrement communiqués au Client aux stades appropriés de la qualification de l’Incident, et ce au moins une fois pour donner son résultat.
Le Client sera informé de la qualification de l’Incident, ainsi que de la possibilité de la Corriger et, le cas échéant, du délai nécessaire à sa Correction (par une mise à jour ou un patch). Il lui sera donné une explication de la nature technique de l’Incident quand elle aura été déterminée.
Les Incidents susceptibles de se reproduire pour lesquels il existe une solution de contournement identifiée seront envoyés au Client par courrier électronique.
Si le Logiciel est mis à jour ou Corrigé (application d’un « patch ») le Client sera informé dans les plus brefs délais.
4.3. MISES A JOUR
En vertu du présent Contrat, le Client est fondé à recevoir sans frais, les Mises à jours correctives et évolutions mineures, modifications ou nouvelles versions x.n du Logiciel, à l’exclusion des Logiciels de nouvelle génération tels qu’une version x+1.
Le Client devra conclure une nouvelle licence d’utilisation pour obtenir et utiliser cette nouvelle version x+1 s’analysant comme un nouveau Logiciel, et un nouveau contrat de maintenance s’y rapportant.
Le Prestataire s’engage à réviser et améliorer le Logiciel et à assurer la mise à jour de la Documentation associée au Logiciel.
4.4. HEBERGEMENT CLOUD
Le Prestataire propose au Client des services d’hébergement de ses Logiciels et des données y afférent. A cet effet, le Prestataire fait appels aux services d’un fournisseur identifié à ce jour :
OVH SAS
SAS au capital de 10 069 020 €
RCS Lille Métropole 424 761 419 00045
Code APE 2620Z
N° TVA : FR 22 424 761 419
Siège social : 2 rue Kellermann – 59100 Roubaix – France
Le Prestataire sélectionne son fournisseur de services d’hébergement en fonction de ses garanties de sécurité et de performance. Toutefois, la disponibilité des serveurs et des services est celle définie par défaut par ce fournisseur.
Dans le cadre de la réalisation des prestations d’hébergement en mode cloud, il appartient au Client de s’assurer également qu’il est en mesure de recourir à des services en mode cloud au regard notamment de :
- la qualité et ou la sensibilité de ses données ;
- les restrictions légales, réglementaires ou ordinales qui peuvent être les siennes ;
- les engagements pris à l’égard de ses propres clients.
Il appartient également au Client de s’enquérir auprès du Prestataire des caractéristiques essentielles de l’offre cloud notamment au regard :
- des niveaux et performance de services ;
- de la couverture géographique ;
- de la facturation.
Le Client s’engage à :
- utiliser les Logiciel et le service de cloud fourni conformément aux présentes ;
- collaborer activement avec le Prestataire ;
- informer le Prestataire sans délai et de manière préventive de tout événement susceptible d’avoir des répercussions quant à l’exécution des présentes ;
- supporter les coûts à sa charge et souscrire les abonnements de télécommunications nécessaires ;
- contrôler les résultats fournis avant toute mise en œuvre.
Le mode Cloud est un mode d’accès et de traitement des données. Il ne se substitue pas à des prestations de sauvegarde et encore moins à des prestations de reprise d’activité.
En cas de sauvegarde des données en local sur un appareil, le Prestataire ne saurait être responsable d’un quelconque dommage survenu aux données du Client.
Il appartient donc au Client de réaliser des copies de sauvegardes sauf s’il souscrit à des services spécifiques auprès du Prestataire à cette fin. Le Prestataire ne saurait être tenu responsable des conséquences dommageables pour le Client ou des tiers de la perte, de la détérioration ou de la destruction des données du Client importées sur le Logiciel.
Les données hébergées physiquement ou présentes dans le Cloud mis à la disposition du Client sont sa propriété exclusive et sont placées sous sa seule responsabilité. Le Prestataire ne procède à aucun contrôle de ces données et n’y accède que pour des raisons liées à la prestation qu’il assure pour le Client.
5 – PROTECTION DES DONNEES A CARACTERE PERSONNEL
5.1. Obligations générales des Parties
Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et à la loi n°78-17 du 6 janvier 1978 modifiée.
5.2. Obligations du Prestataire en tant que Sous-Traitant
Au regard de ce règlement, le Client est responsable de traitement des données importées par lui ou par les Utilisateurs sur le Logiciel. Le Prestataire agit uniquement en qualité de sous-traitant au regard de sa prestation d’hébergement en mode cloud et de ses prestations de maintenance et de support. Le Client reconnait être informé que cette prestation fait l’objet d’une sous-traitance dont les modalités sont détaillées dans le Data Protection Agreement annexé aux présentes.
Dans l’hypothèse où le Prestataire aurait à satisfaire à une demande de communication émanant d’une autorité judiciaire ou administrative habilitée, le Prestataire s’engage à en informer préalablement le Client dans la mesure de ses capacités. Les frais et honoraires correspondant à ces opérations seront facturés au client sur la base du catalogue des tarifs annuels des prestations réalisées par le prestataire au jour de la demande.
6 – OBLIGATIONS DU CLIENT
6.1. INFORMATION ET COOPERATION
Le Client reconnaît et accepte ses obligations d’information et de coopération à l’égard du Prestataire, pour lui permettre d’accomplir sa mission dans les meilleures conditions.
Cela inclut, sans y être limité, lorsque le Client sollicite le Prestataire dans le cadre des présentes CGS, l’autorisation donné de fait au Prestataire de consulter et analyser les données du client, dans l’unique objet de résoudre la cause de la sollicitation. Le Prestataire s’engage à supprimer toutes les éventuelles données alors récupérées dès la résolution de l’Incident, à l’exception des données strictement nécessaires au suivi de la Maintenance.
Le Client fournira ses meilleurs efforts pour tenir à jour un journal des Incidents dans lequel il consignera régulièrement les Incidents survenus lors de l’utilisation du Logiciel en précisant leur contexte. Il tiendra ce registre à disposition du Prestataire à tout moment et à la première demande de celui-ci.
Le Prestataire informe le Client qu’il pourra utiliser ses données non personnelles présentes sur le Logiciel à des fins purement statistiques. Ces données concerneront notamment l’utilisation qui est faite des réserves par les Clients afin de mieux comprendre les besoins.
6.2. COMMUNICATION
Le Client devra communiquer au Prestataire la personne qu’il aura désignée comme son Correspondant (le « Correspondant ») en lui indiquant notamment son nom, son adresse de courrier électronique et son numéro de téléphone.
Si ce Correspondant vient à être remplacé, le Client avertira immédiatement le Prestataire et lui communiquera par écrit les informations relatives au nouveau Correspondant.
Le Prestataire pourra contacter ce Correspondant pour les questions relatives aux Mises à jour du Logiciel.
6.3. SYNCHRONISATION ET SAUVEGARDES
Le Client s’engage à synchroniser régulièrement ses données avec le serveur d’hébergement.
Le Client s’engage à effectuer les sauvegardes nécessaires de l’ensemble des documents et fichiers que lui on les Utilisateurs auront importé sur le Logiciel avant toute intervention du Prestataire dans le cadre du support ou de la Maintenance.
7 – QUALITE DES PRESTATIONS
Le Prestataire s’engage à réaliser les prestations qui lui incombent au titre des présentes CGS conformément aux règles de l’art. Le Prestataire s’engage à collaborer de bonne foi avec le Client.
8 – REDEVANCES
En contrepartie des services de maintenance et d’hébergement fournis par le Prestataire dans le cadre des présentes, le Client paiera au Prestataire les redevances prévues dans le Bon de Commande.
Des redevances de maintenance pourront être facturées en sus pour tout service fourni relativement au Logiciel qui aurait été installé, intégré, personnalisé, modifié, amélioré ou altéré par un tiers autre qu’un prestataire agréé par Script & Go. Sauf clause contraire, toutes les redevances sont dues à compter de la date de prise d’effet des présentes, et sont payables au Prestataire dans les trente (30) jours de la date de chaque facture, sans compensation, déduction ou retenue d’aucune somme qui pourrait être due au Client. La première année pourra être facturée en même temps que la licence. Toutes redevances nées de la licence ou du contrat de maintenance sont non-remboursables et non annulables.
9 – CLAUSE PENALE
En cas de défaut de paiement total ou partiel par le Client, ce dernier devra verser au Prestataire une pénalité de retard égale au taux directeur (taux de refinancement) de la Banque centrale européenne (BCE), majoré de 10 points. Le taux de l’intérêt retenu est celui en vigueur au 1er janvier de l’année en cours.
Cette pénalité est calculée sur le montant TTC de la somme restant due, et court à compter de la date d’échéance du prix sans qu’aucune mise en demeure préalable ne soit nécessaire.
En sus des indemnités de retard, toute somme, y compris l’acompte, non payée à sa date d’exigibilité produira de plein droit le paiement d’une indemnité forfaitaire de 40 euros due au titre des frais de recouvrement.
Le Prestataire se réserve le droit de suspendre les services de Maintenance et d’hébergement jusqu’à ce que les redevances dues aient été intégralement payées.
10 – RESPONSABILITE
Nonobstant toute clause contraire et à moins que la loi n’en dispose autrement, le Prestataire ne pourra en aucun cas être tenu responsable, pour quelque montant que ce soit, des dommages indirects, accidentels ou imprévisibles pouvant résulter de l’exécution des prestations issues des présentes CGS.
De convention expresse entre les Parties, est considéré comme dommage indirect tout préjudice financier ou commercial, perte de bénéfice, de données, de commande ou de clientèle, toute panne ou dysfonctionnement informatique n’étant pas du fait du Prestataire ainsi que toute action dirigée contre le Client par un tiers.
Par ailleurs, le Prestataire n’est en aucun cas responsable des dommages consécutifs à une inexécution par le Client de l’une de ses obligations ou d’une mauvaise utilisation du Logiciel par rapport à la Documentation.
Il est rappelé en tant que de besoin, qu’au titre de la prestation d’hébergement des données du Logiciel, le Prestataire ne saurait voir sa responsabilité engagée quant aux dommages notamment :
- du fait d’atteintes aux systèmes de traitement automatisés de données commises par des tiers;
- des conséquences résultant de l’introduction par le Client, volontairement ou par négligence d’un document infecté ou contenant un virus sur le Logiciel.
Il appartient seul au Client de s’assurer de la légalité de l’objet même des données, tant au regard du respect des règles d’ordre public que du respect des droits des tiers.
Le prestataire ne saurait être tenu pour responsable du résultat des prestations si elles devaient être affectées par des informations incomplètes ou erronées communiquées par le Client.
Il est expressément convenu entre les parties que le Prestataire déconnectera automatiquement l’accès aux données du Client si elles ont été saisies par une autorité judiciaire.
Le Client ne pourra prétendre à quelques dommages et intérêts que ce soit si le Prestataire, saisi par une autorité judiciaire, interrompt l’accès à la totalité ou à une partie aux données du Client.
En tout état de cause, si la responsabilité du Prestataire était engagée par le Client au titre du Contrat pour les dommages directs subis par le Client, le droit à réparation du Client serait limité, toutes causes confondues et pour la durée totale du Contrat, au montant total des redevances payées et dues par le Client au Prestataire dans les douze (12) derniers mois précédant la date d’engagement de la responsabilité du Prestataire.
11 – FORCE MAJEURE
La responsabilité du Prestataire ne pourra pas être mise en œuvre si la non-exécution ou le retard dans l’exécution de l’une de ses obligations décrites dans les présentes conditions générales de vente découle d’un cas de force majeure. À ce titre, la force majeure s’entend de tout événement extérieur, imprévisible et irrésistible au sens de l’article 1148 du Code civil.
12 – LANGUE
La langue officielle des présentes conditions est la langue française. Les traductions des présentes conditions dans d’autres langues permettent uniquement de faciliter la compréhension par le public cible. En cas de litige, seule la version française fera foi.
13 – MODIFICATIONS
Le Prestataire dispose de la faculté de modifier à tout moment les présentes Conditions Générales de service. En cas de modifications substantielles, Le Prestataire informera le Client au moins trente (30) jours avant que de telles modifications ne deviennent applicables. Si le Client ne souhaite pas accepter les modifications, il dispose de la faculté de résilier le Service avant qu’elles ne prennent effet en envoyant un email en ce sens à l’adresse comptabilite@scriptandgo.com ou par courrier à l’adresse suivante : SCRIPT AND GO, 43 Square de la Mettrie – 35700 RENNES.
14 – LITIGES, LOI APPLICABLE
Le Contrat est régi et établi conformément à la loi française, nonobstant ses règles de conflit de loi.
En cas de litige, et après avoir vainement cherché une solution amiable pendant le mois suivant le premier échange écrit faisant part de la difficulté sans ambiguïté, les Tribunaux compétents seront exclusivement les Tribunaux de Rennes (France).
————————————————————————————————-
Annexe 1 : Accord sur le Traitement des Données Personnelles
I. Objet
Les présentes clauses de sous-traitance (« Data Processing Agreement » ou « DPA ») ont pour objet de définir les conditions dans lesquelles SCRIPT & GO (ci-après « le sous-traitant ») s’engage à effectuer, s’agissant des données importées sur le Logiciel objet des présentes CGS, les opérations de traitement de données à caractère personnel définies ci-après, pour le compte du Client ou de l’Utilisateur qui agira en tant que responsable de traitement.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
Le présent DPA est exclusivement applicable au traitement de données à caractère personnel dans le cadre du Contrat.
Pendant l’exécution du Contrat, le Sous-traitant peut traiter des données à caractère personnel (“Données à caractère personnel”) pour le compte et sur instruction du Responsable du traitement dans le cadre de l’exécution du Contrat avec le Responsable du traitement. Un relevé des catégories de Données à caractère personnel, les finalités pour lesquelles elles peuvent être traitées et une description de la ou des activités de traitement, des mesures de protection et des transferts éventuels de Données à caractère personnel est établi par les Parties et communiqué séparément. Le Responsable du traitement est, à l’exclusion de tout autre, seul responsable de la détermination des finalités pour lesquelles des Données à caractère personnel seront (devront être) traitées ainsi que de la manière de procéder.
La propriété des Données à caractère personnel ne sera jamais transférée au Sous-traitant, à moins qu’il s’agisse de ses propres Données à caractère personnel ou de celles de son personnel ou de ses préposés.
II. Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) faisant l’objet du Contrat.
La nature des opérations réalisées sur les données relève de leur hébergement en mode Cloud et, sur demande du Client, de l’accès par les équipes technique du sous-traitant aux données afin de les déplacer, de les restaurer ou de les supprimer.
La ou les finalité(s) du traitement, les données à caractère personnel traitées ainsi que les catégories de personnes concernées dans le cadre des prestations visées par le contrat sont répertoriées dans le registre des traitements établi le responsable de traitement d’une part et le sous-traitant d’autre part, ce dernier n’ayant pas le contrôle sur les données recueillies et sauvegardées.
III. Durée du contrat
Le présent contrat entre en vigueur rétroactivement à la date de signature du bon de commande par le Client et pour une durée égale à ce dernier.
IV. Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s’engage à :
- traiter les données uniquement pour la ou les seule(s) finalité(s)qui fait/font l’objet du Contrat et de
- traiter les données conformément aux instructions documentéesdu responsable de traitement dont il aura accusé réception. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
- garantir la confidentialitédes données à caractère personnel traitées dans le cadre du présent contrat
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes deprotection des données dès la conception et de protection des données par défaut.
V. Sous-traitance
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai maximum de 5 jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le liste des sous-traitants ultérieurs figure au registre des traitements de données et est mise à la disposition du client par n’importe quel moyen.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
VI. Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir une information suffisante et pertinente aux personnes concernées par les opérations de traitement au moment de la collecte des données.
VII. Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement, sous réserve que celui-ci lui ait fourni les contacts nécessaires à cet effet.
VIII. Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures ouvrées après en avoir pris connaissance, par tout moyen. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
IX. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant apporte une aide raisonnable au responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le sous-traitant apporte une aide raisonnable au responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
X. Mesures de sécurité
Sans préjudice d’éventuelles autres normes de sécurité convenues ailleurs par les Parties, le Sous-traitant prendra, de manière démontrable, des mesures techniques et organisationnelles de sécurisation adéquates qui, eu égard à l’état d’avancement actuel de la technique et aux frais y afférents, sont en adéquation avec la nature des Données à caractère personnel à traiter, afin de sécuriser à tout moment les Données à caractère personnel contre toute destruction accidentelle ou illicite, perte ou altération accidentelle, publication ou accès non-autorisé ou traitement illégal. Ces mesures comprendront dans tous les cas :
- des mesures destinées à faire en sorte que les Données à caractère personnel soient uniquement accessibles pour les collaborateurs compétents qui ont besoin d’accéder aux Données à caractère personnel aux fins prévues au Contrat ;
- des mesures de protection des Données à caractère personnel contre toute destruction accidentelle ou illicite, perte ou modification accidentelle, conservation, traitement, accès ou publication non-autorisé ou illicite ;
- des mesures destinées à constater toute vulnérabilité sur le plan du traitement des Données à caractère personnel dans les systèmes qui sont utilisés pour les prestations de services au Responsable du traitement ;
- les mesures de protection convenues entre Parties lors de l’exécution du Contrat.
XI. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage, sur simple demande du responsable de traitement, à lui restituer l’ensemble des données hébergées.
Une fois les données restituées, le sous-traitant attestera de leur suppression sur ses systèmes.
XII. Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un, conformément à l’article 37 du règlement européen sur la protection des données.
A défaut de délégué à la protection des données, le sous-traitant porte à la connaissance du responsable de traitement, par tout moyen, l’identité de la personne à contacter pour les questions relatives à la protection des données personnelles.
Nom et informations de contact du Délégué à la Protection des Données : Marie HOMBERT, marie.hombert@scriptandgo.com
XIII. Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
- les catégories de traitements effectués pour le compte du responsable du traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
XIV. Documentation
Le sous-traitant met à la disposition du responsable de traitement, sur demande par ce dernier, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits dans la mesure des moyens raisonnables qu’il peut mettre en œuvre.
XV. Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
- fournir au sous-traitant les données visées au II des présentes clauses
- documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
- superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.