webleads-tracker

CGV - Formetris

CONDITIONS GÉNÉRALES DE VENTE ET D'UTILISATION

Les présentes conditions générales d’utilisation et de vente, aussi dénommées «Contrat», sont conclues entre les parties suivantes :

La société DOCEBO FRANCE (anciennement FORMETRIS), société par actions simplifiée au capital de 62.871 euros, dont le siège social est situé 109 rue Montmartre 75002 Paris, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 480 191 485,

Le Client ayant accepté explicitement la proposition commerciale de Docebo France, dénommé « le Client »

Collectivement dénommés « les Parties »

Docebo France est une société éditrice d’une plateforme spécialisée dans l’évaluation de formations, des séminaires et évènements ; ces prestations étant réalisées via l’utilisation de logiciels en ligne en mode « SaaS » spécifiquement créé par Docebo France, (ci-après le « Logiciel»). Les présentes conditions générales d’utilisation et de vente ne sont pas valables dans le cas d’utilisation d’autres logiciels Docebo.

L’acceptation par le Client d’une proposition commerciale émise par Docebo France et/ou d’un devis signé par le Client ou son représentant agissant pour son compte implique l’acceptation sans réserve par le Client des conditions générales d’utilisation et de vente suivantes.

Ces conditions générales de vente et d’utilisation sont également valables en cas de test gratuit des solutions d’évaluation de la formation Docebo France.

Article 1 – DÉFINITION

Le Client désigne la société ou organisation ayant acheté la Prestation en ligne de Docebo France d’évaluation des formations ou de séminaires.

L’Utilisateur désigne l’administrateur chez le Client des outils d’évaluation de Docebo France.

Le Stagiaire désigne le collaborateur du Client qui bénéficie d’une formation ou un événement faisant l’objet d’une évaluation par Docebo France.

ARTICLE 2 – DÉFINITION DE LA PRESTATION DE DOCEBO FRANCE

La Prestation de Docebo France peut prendre différentes formes cumulables :

2.1. ÉVALUATION DES FORMATIONS

  • Mise à disposition des Utilisateurs d’un compte dédié sur la plateforme en ligne de Docebo France donnant accès à un ensemble de fonctionnalités permettant de lancer des évaluations de formations auprès des Stagiaires, de générer des rapports d’évaluation et d’analyser les résultats
  • La liste des fonctionnalités d’évaluation accessibles aux Utilisateurs est précisée dans la proposition commerciale accepté par le Client. Parmi les principales fonctionnalités pouvant être activées figurent : un quiz en amont ou en aval de la formation, l’évaluation à chaud, l’évaluation à froid, l’évaluation par le manager du Stagiaire, le recueil du feedback du formateur, l’accès à une bibliothèque de questionnaires standards en 20 langues, l’accès à des outils d’analyse en ligne, l’accès à une équipe support.

2.2. ÉVALUATION DES SÉMINAIRES ET ÉVÉNEMENTS

  • La mise à disposition aux Utilisateurs du Client d’un compte dédié sur la plateforme en ligne de Docebo France donnant accès à un ensemble de fonctionnalités permettant de lancer des questionnaires en ligne auprès des Stagiaires et de générer des rapports d’enquêtes.

2.3. ASSISTANCE OPÉRATIONNELLE ET PRISE EN MAIN DU LOGICIEL

Formetris met à disposition de ses Utilisateurs pendant toute la durée de la prestation, une assistance opérationnelle assurée par e-mail et par téléphone aux horaires suivants : du lundi au vendredi de 9 heures à 18 heures (fuseau horaire de Paris, sauf jours fériés). Cette assistance fournit les réponses aux questions techniques et opérationnelles des Utilisateurs sous 2 jours ouvrés.

En complément des guides utilisateurs et vidéos tutoriels mis à leur disposition, les Utilisateurs peuvent bénéficier d’un webinaire de guidage pas à pas au prix de 250 euros HT par webinaire de 2 heures maximum.

ARTICLE 3 – MODALITÉS D’EXECUTION DE LA PRESTATION

3.1. L’ACCES AUX LOGICIELS

3.1.1. Les modalités d’accès à l’espace Utilisateur

Evaluation de formations et de Séminaires (2.1 et 2.2) : L’Utilisateur peut accéder au Logiciel et à son espace personnel à partir du Site www.formetris.com, au moyen d’un identifiant et d’un mot de passe personnels, communiqués par Docebo France à l’Utilisateur par email.

L’accès au Logiciel ne nécessite aucune installation de logiciel ou de matériel complémentaire sur le matériel informatique de la part de l’Utilisateur.

L’accès aux Prestations de Docebo France nécessite l’accès à un réseau internet. Ledit accès n’est pas compris dans la Prestation de Docebo France et le Client fait son affaire personnelle de l’accès au réseau Internet, auprès du fournisseur d’accès de son choix. Docebo France ne pouvant être tenu responsable d’un dysfonctionnement du réseau Internet ou de l’éventuel système de protection antivirus installé par le Client.

Les Utilisateurs et Stagiaires s’engagent à informer immédiatement Docebo France de tout vol ou rupture de confidentialité de ses identifiants et mots de passe.

Les Logiciels de Docebo France supportent les navigateurs suivants :

– Google Chrome™ : dernières versions stables

– Mozilla® Firefox® : dernières versions stables

– Apple® Safari® pour macOS : dernières versions stables à partir de 9.x

– Microsoft® Edge® : dernières versions stables

– Microsoft® Internet Explorer® : versions 10 et 11 seuls les problèmes critiques seront pris en charge par l’équipe de support et résolus si nécessaire. Il est vivement encouragé de préférer l’un des autres navigateurs pris en charge.

Pour une expérience optimale, il est recommandé aux Utilisateurs et aux Stagiaires d’utiliser la version la plus récente de leur navigateur supportée par la plateforme d’évaluation.

Les cookies et Javascript doivent être activés pour pouvoir utiliser le service.

3.2. LES RELANCES

Évaluation de formations et de Séminaires (2.1 et 2.2)

La Formation ou Séminaire à Evaluer devra être inscrit sur le Logiciel par l’Utilisateur au moins deux (2) jours ouvrés avant la date de la fin de la Formation / séminaire ou évènement à Evaluer. A défaut, chaque jour de retard pourra entraîner un retard d’une journée dans l’exécution de la Prestation.

Des relances par email sont effectuées pour obtenir un taux de réponse optimal. Ces Relances seront limitées à trois (3) Relances par email par Stagiaire.

Les éventuelles relances complémentaires feront l’objet d’une facturation supplémentaire.

(2.1, 2.2, 2.3) Bien que Docebo France s’engage à relancer les Stagiaires, Docebo France n’est tenu que d’une obligation de moyens et n’est pas tenu d’obtenir un taux de réponse minimum des Stagiaires. Docebo France n’est pas tenu de relancer les Stagiaires dont les adresses électroniques se révèleront erronées.

 

ARTICLE 4 – OBLIGATIONS DES PARTIES

Les engagements de Docebo France constituent une obligation de moyens.

Docebo France affectera à l’exécution de la Prestation un personnel compétent et disponible pour exécuter la Prestation dans les délais prévus.

 

ARTICLE 5 – PROPRIÉTÉ INTELLECTUELLE

5.1. PROPRIÉTÉ DU LOGICIEL ET DU SITE

5.1.1. Docebo France est et reste seul propriétaire des Logiciels, des Sites, des méthodes, du processus, des questionnaires, des outils d’analyse, des techniques, des développements et du savoir-faire utilisés lors de la réalisation de la Prestation, ce que le Client reconnait expressément.

A ce titre, Docebo France est investi de l’intégralité des droits, y compris des droits d’auteur, sur les Logiciels et Sites de Docebo France, conformément au Code de la propriété intellectuelle.

Toute reproduction et/ou représentation des Logiciels ou Sites de Docebo France, qu’elle soit totale ou partielle, quelle qu’en soit la forme est interdite

Le Client n’a aucun droit de propriété ou privatif d’aucune sorte sur les Logiciels et Sites de Docebo France, le Client ne disposant que d’un droit d’utilisation temporaire et partiel sur les Logiciels de Docebo France.

5.1.2. Toutes les marques, photographies, textes, commentaires, illustrations, images animées ou non, séquences vidéo, sons, ainsi que toutes les applications informatiques qui pourraient être utilisées pour faire fonctionner les Sites et les Logiciels et plus généralement tous les éléments reproduits ou utilisés sur les Sites et les Logiciels sont protégés par les lois en vigueur au titre de la propriété intellectuelle.

Ils sont la propriété pleine et entière de Docebo France ou de ses partenaires. Toute reproduction, représentation, utilisation ou adaptation, sous quelque forme que ce soit, de tout ou partie de ces éléments, y compris les applications informatiques, sans l’accord préalable et écrit de Docebo France, sont strictement interdites. Le fait pour Docebo France de ne pas engager de procédure dès la prise de connaissance de ces utilisations non autorisées ne vaut pas acceptation desdites utilisations et renonciation aux poursuites.

FORMETRIS est une marque française semi-figurative appartenant à Docebo France, déposée à l’INPI sous le numéro 3892289 et enregistrée le 18 mai 2012.

Formetris Intelligent Learning est une marque française appartenant à Docebo France, déposée à l’INPI sous le numéro 4308659 et enregistrée le 19 octobre 2016

5.2. PROPRIÉTÉ ET UTILISATION DES DOCUMENTS ÉMIS PAR Docebo France

S’agissant du contenu des rapports, documents, memo, tableaux de synthèse et autres documents fournis ou mis à disposition du Client dans le cadre de la Prestation (les « Documents ») :

Les Parties pourront utiliser les Documents dans les conditions suivantes :

5.2.1 Docebo France s’engage à ne jamais rendre publics les Documents mentionnant le nom du Client et à ne les utiliser que de façon anonyme, dans le cadre de l’établissement desdites analyses comparatives inter-clients.

5.2.2 Le Client est libre d’utiliser comme il l’entend les Documents mis à sa disposition par Docebo France, sans restriction aucune, que ce soit pour ses besoins personnels ou ceux des tiers, notamment de ses filiales, les exploiter à titre onéreux ou gratuit. Le Client peut librement communiquer les Documents aux tiers, et reproduire lesdits rapports sans limitation aucune.

5.3. PROPRIÉTÉ ET UTILISATION DES DONNES RÉCOLTÉES PAR DOCEBO FRANCE

S’agissant des données collectées par Docebo France dans le cadre de ses Prestations auprès des Utilisateurs et des Stagiaires (les « Données ») :

Les Parties pourront utiliser les Données dans les conditions suivantes :

Docebo France ne pourra utiliser les données collectées auprès des Utilisateurs et Stagiaires du Client (hors données personnelles et nominatives) que de manière anonyme et dans le cadre d’analyses comparatives inter-clients, de classement des meilleures formations, d’études générales sur les formations, et ce sur tous supports (matériels ou immatériels) et par tous moyens, dans le monde entier et pendant toute la durée des droits protégeant lesdites données.

ARTICLE 6 – RÉFÉRENCES

Le Client autorise Docebo France à le faire figurer comme l’une de ses références commerciales et à faire usage de la dénomination et du logo du Client à ce titre sur ses Sites, ainsi que sur tous supports et documents de communication et de marketing.

 

ARTICLE 7 – CONFIDENTIALITÉ

Dans le cadre de la Prestation, Docebo France peut avoir accès à des informations confidentielles du Client et du Stagiaire. Docebo France s’engage à ne pas utiliser directement ou indirectement ces informations confidentielles (en dehors des éléments indiqués ci-dessous). Docebo France s’engage également à ne pas dévoiler ces informations confidentielles à une tierce partie (en dehors des éléments prévus par le présent contrat) et à prendre toutes les mesures nécessaires pour garantir la sécurité de ces informations confidentielles.

Docebo France s’engage à faire respecter cette obligation par ses employés, société mère, filiales et sous-traitants éventuels.

Par ailleurs, Docebo France n’utilisera les adresses électroniques communiquées par les Utilisateurs à Docebo France que dans le cadre de la Prestation. En particulier, Docebo France n’utilisera pas ces adresses à des fins commerciales.

ARTICLE 8 – RESPONSABILITÉ

La responsabilité de Docebo France sera limitée aux dommages matériels directs causés au Client qui résulteraient de fautes imputables à Docebo France dans l’exécution de la prestation. Docebo France n’est pas tenu de réparer les conséquences dommageables des fautes commises par le Client ou des tiers en rapport avec l’exécution de la prestation. En aucune circonstance, Docebo France ne sera tenu d’indemniser les dommages immatériels ou indirects tels que : pertes d’exploitation, de profit, d’une chance, préjudice commercial ou manque à gagner.

La responsabilité civile de Docebo France est, en tout état de cause, limitée à une somme plafonnée au montant du prix de la Prestation encaissé au jour de de la survenance du dommage.

ARTICLE 9 – PRIX

9.1. ACHAT DE FORFAITS PRE-PAYES

9.1.1. Dans le cas d’achat d’un forfait correspondant à des Prestations d’évaluation (2.1, 2.2) pré-payées, le Client s’engage à régler en début de la période de validité le montant total du forfait. La durée de validité du forfait doit être explicitement mentionnée par Docebo France au Client dans sa proposition commerciale, ainsi que le prix d’achat et le nombre de prestations d’évaluation et/ou d’auto-coaching prévues.

9.1.2. En cas de non-règlement en début de période, Docebo France se réserve le droit de ne pas commencer sa Prestation.

9.1.3. En cas de besoin par le Client de prestations complémentaires avant la fin de la durée de validité du forfait, un nouveau forfait sera proposé par Docebo France au Client.

9.1.4. En cas de non-utilisation par le Client de l’ensemble des prestations d’évaluation prévues initialement dans le forfait dans la limite de la durée de validité, Docebo France n’est pas tenu de rembourser le Client à ce titre.

 

9.2. PRIX D’ACHAT DE LA PRESTATION

Le tarif de la Prestation sera communiqué au Client par Docebo France et doit faire l’objet d’un accord explicite par le Client (signature d’un devis, d’un bon de commande, acceptation écrite…), étant ici précisé que l’activité de Docebo France est soumise à la TVA, laquelle sera réglée par le Client en sus du prix stipulé hors taxes. Les prix sont susceptibles d’être modifiés, et doivent faire en ce cas l’objet d’un nouvel accord explicite de la part du Client.

 

9.3 MODALITÉS DE PAIEMENT

Les factures de Docebo France sont payables à trente (30) jours, suivant la date de réception de la facture.

Le paiement du prix intervient par virement bancaire sur le compte bancaire de Docebo France dont le RIB figure en annexe des présentes.

En cas de non-paiement à son échéance, toute somme due portera automatiquement intérêt par application d’un taux égal à trois (3) fois le taux légal.

En cas de non-règlement des sommes dues, Docebo France se réserve le droit de suspendre sa Prestation.

Toute correspondance en matière de facturation et de règlement est à adresser à : Docebo France – 109 rue Montmartre 75002 PARIS (France) ou : comptabilite@formetris.com

ARTICLE 10 – ENTRÉE EN VIGUEUR ET DURÉE

Le Contrat est conclu pour une durée précisée sur la proposition commerciale de Docebo France. Au-delà, il se prolongera, sauf résiliation anticipée, pour des périodes successives d’un (1) an par tacite reconduction, à moins d’avoir été dénoncé par l’une ou l’autre des Parties par lettre recommandée avec accusé de réception au moins trois (3) mois avant l’échéance.

Dans le cadre d’achat de forfaits pré-payés (9.1), la date d’entrée en vigueur est celle de l’activation de la première Prestation d’évaluation (2.1 ou 2.2) par l’Utilisateur.

Le processus d’évaluation des formations et/ou séminaires (2.1 ou 2.2) en cours d’évaluation (i.e. formation inscrite sur le site Formetris et ayant eu lieu) à la date d’arrêt sera mené à terme. Seules ces évaluations seront facturées.

ARTICLE 11 – RÉSILIATION POUR MANQUEMENT D’UNE PARTIE A SES OBLIGATIONS

En cas de non-respect par l’une ou l’autre des Parties de ses obligations au titre du Contrat, celui-ci pourra être résilié au gré de la Partie lésée.

Il est expressément entendu que cette résiliation aura lieu de plein droit trente (30) jours après l’envoi d’une mise en demeure de s’exécuter, restée, en tout ou partie, sans effet. La mise en demeure pourra être notifiée par lettre recommandée avec accusé de réception ou tout acte extrajudiciaire.

En tout état de cause, la Partie lésée pourra demander en justice l’octroi de dommages et intérêts, sans préjudice de l’application des pénalités de retard prévues au présent Contrat.

ARTICLE 12 – DONNÉES PERSONNELLES

Les données personnelles pouvant être recueillies sur le Logiciel et/ou le Site sont exclusivement utilisées par Docebo France dans le cadre de la réalisation de la Prestation. Elles sont enregistrées dans le fichier de clients de Docebo France, et le fichier ainsi élaboré à partir de données à caractère personnel est déclaré auprès de la CNIL.

Conformément aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, les Utilisateurs et les Stagiaires disposent d’un droit d’accès, d’interrogation, de modification et de suppression des informations qui les concernent ; droit pouvant être exercé à tout moment auprès de Docebo France soit par courrier postal à l’adresse suivante : Docebo France. 109, rue Montmartre. 75002 Paris.

Pour des raisons de sécurité et éviter toute demande frauduleuse, cette demande devra être accompagnée d’un justificatif d’identité (par exemple une copie de carte d’identité). Après traitement de la demande ce justificatif sera immédiatement détruit.

Les données personnelles recueillies pourront éventuellement être communiquées à des tiers liés à Docebo France par contrat pour l’exécution de tâches sous-traitées nécessaires à réalisation de la Prestation et sans que le Client ait à donner son autorisation. Dans ce cas, ces données seront utilisées par le tiers conformément aux termes du présent Contrat.

En cas d’infraction avérée à des dispositions légales ou réglementaires, les données personnelles recueillies au titre du Contrat pourront faire l’objet d’une communication sur demande expresse et motivée des autorités judiciaires.

Lorsque certaines données personnelles sont obligatoires pour accéder à des fonctionnalités spécifiques du Logiciel, Docebo France indiquera ce caractère obligatoire au moment de la saisie des données.

ARTICLE 13 – SOUS-TRAITANCE

Docebo France peut sous-traiter, à sa convenance, tout ou partie du Contrat. Docebo France restera responsable de sa bonne exécution de la Prestation vis-à-vis du Client dans les termes du Contrat.

ARTICLE 14- CIRCULATION DU CONTRAT

Le Contrat étant conclu « intuitu personae », les Parties s’interdisent de transférer, pour quelque cause et sous quelque forme que ce soit, à titre onéreux ou gratuit, le Contrat ou l’un quelconque de leurs droits et obligations à un tiers.

Cependant, ces interdictions ne pourront pas être opposées aux obligations légales d’ordre public, ni à l’autorisation écrite et préalable des Parties.

Toutefois, le Client et le Prestataire sont autorisés à transférer le Contrat dans le cadre d’une cession de leur fonds de commerce ou de leur entreprise respective, à condition qu’ils en aient informé l’autre Partie dans les trente (30) jours de ladite cession par lettre recommandée avec accusé de réception.

ARTICLE 15 – MODIFICATION

Les Conditions Générales de vente et d’utilisation pourront être modifiées par Docebo France qui s’engage le cas échéant à les mettre à disposition du Client.

Aucune dérogation aux présentes conditions d’utilisation et conditions générales de vente ne pourra être admise sans accord exprès et préalable de Docebo France.

ARTICLE 16– FORCE MAJEURE

La responsabilité de chacune des Parties ne pourra être recherchée si l’exécution du Contrat est retardée ou empêchée en raison d’un cas de force majeure ou assimilé ou d’un cas fortuit, du fait de l’autre Partie ou d’un tiers ou de causes extérieures telles que conflits sociaux, pandémie, épidémie, intervention des autorités civiles ou militaires, guerres ou hostilités déclarées ou non déclarées, actes terroristes, émeutes, catastrophes naturelles, incendies, dégâts des eaux, mauvais fonctionnement ou interruption du réseau de télécommunications ou du réseau électrique.

Dans tous les cas, la Partie empêchée devra faire tout ce qui est en son pouvoir pour limiter la durée et les effets du cas fortuit, de la force majeure ou de la cause extérieure.

En cas de prolongation de l’événement au-delà d’une période de trois (3) mois, le Contrat pourra être résilié par lettre recommandée avec accusé de réception, sauf accord entre les Parties

ARTICLE 17 – TOLÉRANCES

Il est formellement convenu que toute tolérance ou renonciation d’une des Parties, dans l’application de tout ou partie des engagements prévus par les Conditions Générales de Vente et d’Utilisation, quelles qu’en aient pu être la fréquence et la durée, ne saurait valoir modification des présentes Conditions Générales de Vente et d’Utilisation, ni générer un droit quelconque.

ARTICLE 18 – DOCUMENTS CONTRACTUELS

Les présentes Conditions Générales de Vente et la proposition commerciale constituent l’expression du plein et entier accord des Parties. Ses stipulations annulent et remplacent toute stipulation contenue dans un document relatif à l’objet des Conditions Générales de Vente qui aurait pu être établi antérieurement à l’entrée en vigueur des présentes Conditions Générales de Vente.

ARTICLE 19 – INVALIDITÉ PARTIELLE

La nullité ou l’inapplicabilité de l’une quelconque des stipulations des Conditions Générales de Vente et d’Utilisation n’emportera pas nullité des autres stipulations qui conserveront toute leur force et leur portée. Les Parties pourront cependant d’un commun accord, convenir de remplacer la ou les stipulations invalidées. Tout accord particulier conclu entre Docebo France et le Client prévaudra alors sur les Conditions Générales de Vente et d’Utilisation.

ARTICLE 20 – DROIT APPLICABLE

De convention expresse entre les Parties, les présentes Conditions Générales de Vente et d’Utilisation sont soumises au droit français, à l’exclusion de toute autre législation.

Tout litige relatif à la conclusion, l’interprétation, l’exécution des Conditions Générales de Vente et d’Utilisation sera soumis au tribunal de commerce de Paris exclusivement compétent, y compris en référé, nonobstant appel en garantie ou pluralité de défendeurs.

Annexe contractuelle RGPD

  1. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles Docebo France (ci-après le Sous-Traitant) s’engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

  1. Description du traitement faisant l’objet de la prestation

Le Sous-Traitant est autorisé à traiter pour le compte du Client les données à caractère personnel nécessaires selon les éléments décrits :

  • Finalité(s) du traitement : évaluation de formations
  • Nature des opérations réalisées sur les données : envoi d’emails, collecte de données relatives aux formations, traitement statistique
  • Données à caractère personnel traitées : nom, prénom, adresse email, signature (si émargement)
  • Catégories de personnes concernées : salariés du Client et leurs managers le cas échéant, formateurs
  • Informations nécessaires mises à disposition par le Client pour le Sous-Traitant : nom, prénom, adresse email

III. Durée

Les présentes clauses ont la même durée que le contrat qu’elles viennent compléter.

 

  1. Obligations du Sous-Traitant vis-à-vis du Client

Le Sous-Traitant s’engage à :

  1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la prestation
  1. traiter les données conformément aux instructions documentées du Client figurant en annexe du présent contrat. Si le Sous-Traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
  1. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
  1. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel
  1. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
  1. prestation

Le Sous-Traitant peut faire appel à un autre prestataire (ci-après, « le Sous-traitant Ultérieur») pour tout ou partie des activités de traitement spécifiques.

 

Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Client. Il appartient au Sous-Traitant de s’assurer que le Sous-traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.

  1. Droit d’information des personnes concernées

Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

  1. Exercice des droits des personnes

Dans la mesure du possible, le Sous-Traitant doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Le Sous-Traitant doit répondre, au nom et pour le compte du Client et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la prestation prévue par le présent contrat.

  1. Notification des violations de données à caractère personnel

Le Sous-Traitant notifie au Client toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par le moyen suivant : email au porteur principal du projet chez le Client. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Après accord du Client, le Sous-Traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du Client, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

La notification contient au moins :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Après accord du Client, le Sous-Traitant communique, au nom et pour le compte du Client, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La communication au Client décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  1. Aide du Sous-Traitant dans le cadre du respect par le Client de ses obligations

Le Sous-Traitant aide le Client pour la réalisation d’analyses d’impact relative à la protection des données.

Le Sous-Traitant aide le Client pour la réalisation de la consultation préalable de l’autorité de contrôle.

  1. Mesures de sécurité

Le Sous-Traitant s’engage à mettre en oeuvre les mesures de sécurité suivantes :

  • D’un point de vue technique :
    • Hashage des mots de passe
    • Connexions Client -> serveur sécurisées par HTTPS
    • Connexions serveur -> serveur sécurisées par SSH et/ou SFTP
    • Données stockées dans plusieurs datacenter pour éviter les pertes en cas de défaillance d’un centre
    • Données sauvegardées dans différents endroits (zone UE) pour récupérer dans le cadre d’un PCA/PRA
    • Pseudonymisation des données personnelles sur les environnements de tests et de développement ;
    • Anonymisation des données personnelles 3 ans après la réponse à une enquête (ou voir exception dans conditions spécifiques)
  • D’un point de vue organisationnel :
    • Signalement de tout vol / perte d’information propriétaire
    • Utilisation des informations propriétaires dans un cadre strictement professionnel
    • Accès permanent à la surveillance des équipements et des systèmes par des administrateurs
    • Classification physique des zones sensibles : zones publiques sans accès aux données, zones privées à accès limité et zones sensibles à accès restreint.
    • Politique de construction des mots de passe qui suit les standards du SANS Institute
    • Plan de communication et de résolution en cas de brèche de sécurité auprès des employés et des personnes affectées.
    • Plan de gestion des brèches de sécurité et des vulnérabilités par une équipe désignée.
    • Protection par mot de passe et verrouillage automatique des appareils ayant accès aux données.
    • Vérification de la sécurité des données (physiques et électroniques) à la fin de la journée de travail ou lors d’un congé.
    • Assurance de la confidentialité des mots de passe.
    • Sécurisation des données sensibles envoyées par e-mail.
    • PCA/PRA testé et revu au moins une fois par an
    • Audits de sécurité au moins une fois par an (mise à jour des bonnes pratiques de sécurité, tests de pénétration…)

11.1 Transfert de données

Dans le cadre des projets, le Client peut être amené à transférer des données personnelles de ses employés au Sous-Traitant. Pour ces besoins, le Sous-Traitant fournira un moyen sécurisé de transfert (sFTP, adresse email sécurisé, cryptage…) au Client, en garantissant que ces données transiteront uniquement par des serveurs basés dans la zone européenne.

Si malgré cela le Client choisi un autre moyen de transfert non fourni par le Sous-Traitant (comme par exemple l’email sur une adresse non sécurisée), la clause précédente n’est plus applicable et le Sous-Traitant ne peut s’engager sur le fait que les données resteront en Europe (puisqu’elles passeront par des serveurs d’une société internationale).

  1. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à :

  • détruire toutes les données à caractère personnel en les anonymisant
  • à renvoyer toutes les données à caractère personnel au Client sur sa demande et dans un délai de 3 mois maximum
  1. Protection des données

Le Sous-Traitant dispose d’une équipe dédiée à la sécurité et à la protection des données pouvant être contacté à l’adresse suivante :

rgpd@formetris.com

  1. Registre des catégories d’activités de traitement

Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :

le nom et les coordonnées du Client pour le compte duquel il agit, des éventuels Sous-traitants et, le cas échéant, du délégué à la protection des données;

les catégories de traitements effectués pour le compte du responsable du traitement;

le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;

  1. Documentation

Le Sous-Traitant met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

  1. Obligations du Client vis-à-vis du Sous-Traitant

Le Client s’engage à :

  1. fournir au Sous-Traitant les données visées au II des présentes clauses
  2. documenter par écrit toute instruction concernant le traitement des données par le  Sous-Traitant
  3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant
  4. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-Traitant

Paris, le 22 mars 2021