Conditions générales d'Hébergement IaaS

A Aux fins des CGU / CGV, les termes ci-dessous ont le sens suivant sauf indication contraire expressément stipulée dans les présentes :

• Bande Passante : désigne la capacité de transmission d’une liaison. Elle détermine la quantité d’informations, de données (en bits/s) qui peut être transmise simultanément.
• Données : désignent les informations, publications et, de manière générale, les DONNEES de la base de données CLIENTS incluses dans la Solution Logicielle, hébergées dans les conditions définies aux présentes., ne pouvant être consultées que par les UTILISATEURS.
• Espace de stockage : désigne l’espace mis à disposition du CLIENT sur les SERVEURS de l’HEBERGEUR et permettant de stocker la Solution Logicielle et les Données associées.
• IaaS (Infrastructure as a Service) : désigne la fourniture de l’infrastructure informatique, c’est-à-dire, la solution de virtualisation, les SERVEURS, les réseaux, et le stockage des données. L’IaaS permet de dématérialiser uniquement l’infrastructure matérielle.
• Identifiants : désignent tant l'identifiant propre de l’UTILISATEUR ("login") que le mot de passe de connexion ("password"), communiqués après inscription au service.
• Internet : désigne le réseau de communications électroniques mondial constitué par l’interconnexion de réseaux informatiques utilisant le protocole IP.
• Intranet : désigne l’ensemble de services internet (par exemple un SERVEUR web) internes à un réseau local, c'est-à dire accessibles uniquement à partir des postes d'un réseau local ou bien d'un ensemble de réseaux bien définis et invisibles (ou inaccessibles) de l'extérieur. Il consiste à utiliser les standards Client-Serveur de l'internet (en utilisant les protocoles TCP/IP) et des SERVEURS web (protocole HTTP) pour réaliser un système d'information interne à une organisation ou une entreprise.
• Niveaux de Service ou SLA : désigne les engagements de performance des services tels que figurant en Annexe.
• Machine Virtuelle (VM) : désigne l’infrastructure informatique matérielle et logicielle mise à disposition du CLIENT afin d’héberger la Solution Logicielle et les Données associées.
• SERVEURS : désigne les Machines hôtes chez l’HEBERGEUR hébergeant les Machines Virtuelles.
• Solution Logicielle : désigne un ensemble constitué d’une part des logiciels dont le CLIENT a acquis du TITULAIRE les droits d’utilisation et d’autre part des données, selon la définition est précisée ci-dessous.
• Utilisateur : désigne la personne placée sous la responsabilité du CLIENT (préposé, salarié, représentant, etc.) et bénéficiant d’un accès à la Machine Virtuelle sur son ordinateur en vertu de la licence d’utilisation contractée par le CLIENT.
• Hébergeur : désigne le partenaire du TITULAIRE, société hébergeant sur ses SERVEURS la Machine Virtuelle mise à disposition du CLIENT.

Les présentes Conditions générales d’utilisation Logiciels (appelées CGV / CGV) ont pour objet de définir les termes et conditions dans lesquels le TITULAIRE met à disposition du CLIENT un hébergement dédié de la Solution Logicielle, appelé aussi hébergement IaaS, ainsi que les prestations associées, selon les caractéristiques précisées ci-après.

Fait générateur de la date d’effet : la mise à disposition de la Machine Virtuelle via la communication par le TITULAIRE au CLIENT de son adresse(s) IP de connexion et des informations de connexion (Nom utilisateur et Pass).

Durée

La durée initiale de l’hébergement IaaS est stipulée sur le devis et/ou commande. A l’issue de cette période initiale, le contrat se reconduit tacitement.

Le CLIENT peut résilier son hébergement IaaS sous réserve de l’envoi par LR/AR d’une notification 90 jours francs avant la date d’anniversaire correspondant à la date d’entrée en vigueur précisée ci-dessus.

Le CLIENT est informé qu’en cas de non-reconduction ou renouvellement, l’hébergement dédié, objet des présentes, sera suspendu dans un délai de sept jours calendaires de sa date d’expiration. 

Le CLIENT reste engagé jusqu'au complet paiement aux conditions prévues au Contrat qui les a faites naître.

L’hébergement dédié consiste à mettre à disposition du CLIENT une ou plusieurs Machines Virtuelles au sein d’une infrastructure technique équipée d’antivirus et d’un système d’exploitation opérationnel mis à disposition du TITULAIRE par L’HEBERGEUR, aux fins d’exploitation à distance de la Solution Logicielle et des Données associées via une ou plusieurs adresse(s) de connexion attribuée(s) par le TITULAIRE, en accès administrateur.

Les principales caractéristiques de l’HEBERGEUR sont citées en annexe.

1. Prestations de base constituant le prix de base

1. Dimensionnement de base de la Machine Virtuelle 

Les caractéristiques techniques des différentes configurations de base constituant le dimensionnement de la Machine Virtuelle sont définies en annexe. La configuration de(s) la Machine(s) Virtuelle(s) retenue(s) par le Client, est précisée en annexe.

1. Initialisation du SERVEUR principal

Création d’une Machine Virtuelle avec l’OS et sa licence associée dans ses dernières mises à jour et l’attribution d’une adresse IP publique ; Configuration et paramétrage de la ou des Machines Virtuelles ; Création des identifiants ainsi que leur communication au CLIENT.

1. Isolation réseau

Chaque CLIENT dispose d’un VLAN distinct sur l’infrastructure de virtualisation dont le routage est assuré par un firewall pour le nattage de l’adresse IP fournie.

1. Supervision technique de la Machine Virtuelle pendant les horaires de bureau

Durant les jours ouvrés et pendant les horaires d’accès au support technique tel que défini en annexe dans la charte qualité, le TITULAIRE assure le support et la surveillance afin de garantir que la Machine Virtuelle mise à disposition du CLIENT est accessible et en fonctionnement.

1. Engagements de service sont listés dans la charte qualité en annexe (sauvegardes, back-up, garantie de temps de rétablissement, pénalités).

1. Prestations exclues des prestations et prix de base

• Les mises à jour de sécurité de l’OS SERVEUR. Le CLIENT est responsable de maintenir à jour son OS et d’appliquer les patchs de sécurité OS ou applicatifs.

• La surveillance de la partie applicative, c’est-à-dire la surveillance du bon fonctionnement de la Solution Logicielle installée sur la Machine Virtuelle. 

1. Prestations complémentaires

La commande peut mentionner des prestations complémentaires

Le CLIENT accède à la Machine Virtuelle 24 heures sur 24, 7 jours sur 7, y compris les dimanche et jours fériés (à l’exception des périodes de maintenance). Le CLIENT utilise seul ce droit d'accès.

1. Moyens d’accès en administrateur

• A partir des ordinateurs du réseau CLIENTS ;

• A partir de tout ordinateur CLIENT nomade à condition de souscrire à un accès SSL VPN.

Le TITULAIRE communique au CLIENT un Identifiant attribué à chaque UTILISATEUR et un mot de passe lors de la communication de l’adresse(s) IP de connexion.

Le CLIENT utilisera les IDENTIFIANTS qui lui ont été communiqués lors de chaque connexion à la Machine Virtuelle.

Les IDENTIFIANTS sont destinés à réserver l'accès de la Machine Virtuelle aux UTILISATEURS du CLIENT, à protéger l'intégrité et la disponibilité de la Machine Virtuelle, ainsi que l'intégrité, la disponibilité et la confidentialité des DONNEES du CLIENT telles que transmises par les UTILISATEURS.

1. Confidentialité des identifiants

Les IDENTIFIANTS sont personnels et confidentiels. Ils ne peuvent être changés que sur demande du CLIENT ou à l'initiative du TITULAIRE sous réserve d’en informer préalablement le CLIENT. Le CLIENT s'engage à mettre tout en œuvre pour conserver secrets les IDENTIFIANTS le concernant et à ne pas les divulguer sous quelque forme que ce soit.

Le CLIENT est entièrement responsable de l'utilisation des IDENTIFIANTS et il est responsable de la garde des codes d’accès qui lui sont remis. Il s’assure qu’aucune autre personne non autorisée par le TITULAIRE n’a accès à la Machine Virtuelle. De manière générale, le CLIENT assume la responsabilité de la sécurité des postes individuels d’accès à la Machine Virtuelle. Dans l’hypothèse où il a connaissance qu’une autre personne y accède, le CLIENT en informe le TITULAIRE sans délai et le confirme par courrier recommandé.

En cas de perte ou de vol d’un des IDENTIFIANTS, le CLIENT contacte le Support technique du TITULAIRE (coordonnées en annexe charte qualité)

Le CLIENT doit communiquer le code et le numéro de référence de son Contrat, situé en haut à droite de la première page du présent document.

Dans le cadre de l’hébergement dédié, le CLIENT bénéficie, à compter de la date de mise à disposition de la Machine Virtuelle, d’une garantie de disponibilité de la Machine Virtuelle assortie de pénalités dans les conditions figurant à l’annexe charte qualité. 

Seuls sont couverts par cette garantie les dysfonctionnements liés à des problèmes techniques, en relation directe avec les obligations mises à la charge du TITULAIRE en vertu des présentes et dont seul le TITULAIRE serait responsable.

Au titre de cette garantie, le TITULAIRE s’oblige à remettre en état ou à remplacer à ses frais la partie de la prestation qui serait reconnue défectueuse, exception faite du cas où la défectuosité serait imputable au CLIENT.

1. Obligations du client dans le cadre de la garantie 

Le CLIENT est l’administrateur de la Machine Virtuelle. A ce titre :

• A partir du fait générateur de mise à disposition de la Machine Virtuelle, le TITULAIRE n’est plus responsable ni des OS ni des outils tiers, ni des Logiciels qui pourraient être installés sur la Machine Virtuelle par le CLIENT. 
• Le CLIENT est responsable d’effectuer les mises à jour régulières des OS, des outils tiers, et des Logiciels installés sur sa Machine Virtuelle.
• Le CLIENT utilise la Machine Virtuelle conformément aux prescriptions normales d'usage. Dans le cas où une utilisation anormale de la Machine Virtuelle par le CLIENT entraînerait des perturbations dans l’exploitation du réseau, le TITULAIRE se réserve le droit de suspendre la Machine Virtuelle ou de dénoncer ses engagements pour les commandes en cause, sans préjudice de toute action en dommages et intérêts.
• Le CLIENT est responsable de l’adéquation entre le dimensionnement de la Machine Virtuelle tel que précisée aux présentes, des traitements qu’il y effectue et du nombre d’UTILISATEURS qui se connectent simultanément.

2. Exclusions de garanties 

Le TITULAIRE n’administre pas la Machine Virtuelle pour le compte du CLIENT.

Le TITULAIRE n’est pas responsable du bon fonctionnement de la Solution Logicielle installée. 

Le TITULAIRE n’est pas en mesure de garantir la continuité de l’accès du CLIENT à ses Données, ce que le CLIENT reconnaît. 

Le TITULAIRE ne garantit pas les équipements du CLIENT nécessaires pour accéder à la Machine Virtuelle.

La garantie ne comprend pas des prestations additionnelles telles que :

• Les adaptations et/ou compléments de paramétrage ;
• L’ajout de nouveaux UTILISATEURS ; 
• La mise à disposition de nouvelles DONNEES.

Toute intervention demandée par le CLIENT est facturée sur la base du tarif en vigueur publié par le TITULAIRE dans son catalogue de prix officiel.

Dans le cas où le CLIENT n’aurait pas respecté des obligations aux CGU / CGV, la garantie est exclue.

Les caractéristiques de l’hébergement dédié sont précisées dans la charte qualité, en annexe.

Le CLIENT est averti des aléas techniques inhérents à l’INTERNET, et des interruptions d’accès qui peuvent en résulter. En conséquence, le TITULAIRE ne peut être tenu responsable des éventuelles indisponibilités ou ralentissements de la Machine Virtuelle. 

Le TITULAIRE s’engage à mettre en place des contrôles efficaces de nature à procurer une assurance raisonnable que le CLIENT peut accéder et utiliser la Machine Virtuelle concernée aux heures déterminées aux présentes, dans les conditions de la charte qualité en annexe.

La Machine Virtuelle peut être occasionnellement suspendue en raison d'interventions nécessaires au bon fonctionnement des SERVEURS de l’HEBERGEUR.

Le TITULAIRE ne peut être tenu responsable de l’impact éventuel de cette indisponibilité sur les activités du CLIENT.

Le CLIENT s’interdit de transmettre ou de permettre la transmission sur Internet de toute Donnée ou information illicite, contraire aux lois et règlements ou à l’ordre public, ou portant atteinte aux droits des tiers et notamment aux droits d’auteur. Il s’engage à ne pas faire de la Machine Virtuelle un usage contraire à la réglementation applicable aux communications électroniques, ni apporter son concours à un tel usage. 

Le CLIENT déclare avoir conscience des caractéristiques techniques et des aléas relatifs aux temps de chargement, consultation ou autres transactions effectuées sur Internet via la Machine Virtuelle, la constitution même du réseau empêchant de connaître le débit du destinataire, le chemin emprunté par les Données ou encore le taux de disponibilité de la bande passante.  

Le CLIENT reconnaît également qu’il est averti des risques de failles relatives à la sécurité et à la confidentialité des Données envoyées et reçues sur Internet, des risques d’intrusion et de virus. Il assume seul la responsabilité des Données qu’il envoie ou reçoit via la Machine Virtuelle et des moyens de protection et d’authentification qu’il met en œuvre dans ce cadre. Il prend soin de se conformer à la réglementation applicable en matière de secret des correspondances. 

Enfin, le TITULAIRE se réserve le droit, en cas d’utilisation, de diffusion ou de stockage par le CLIENT de Données illicites, de suspendre ou d’interrompre la Machine Virtuelle, sans qu’aucune indemnité ne soit due au CLIENT, et sans préjudice des redevances dues, ce que celui-ci reconnaît.

1. Données personnelles 

Si les DONNEES transmises sur la Machine Virtuelle comportent des DONNEES à caractère personnel, le CLIENT garantit au TITULAIRE qu’il a procédé à l’ensemble des obligations qui lui incombent au titre du règlement RGPD et qu’il a informé les personnes physiques concernées de l’usage qui est fait desdites DONNEES personnelles. A ce titre, le CLIENT garantit le TITULAIRE contre tout recours, plainte ou réclamation émanant d’une personne physique dont les DONNEES personnelles seraient reproduites et hébergées via la Machine Virtuelle.

Le TITULAIRE assure qu’aucune donnée ne sera stockée sur un SERVEUR de l’HEBERGEUR localisé hors territoire France Métropolitaine.

Le TITULAIRE se réserve le droit de suspendre la Machine Virtuelle en cas de manquement du CLIENT à une quelconque obligation des CGU / CGV.

2. Exploitation des données 

Le CLIENT assure la responsabilité éditoriale éventuelle de la Solution Logicielle.

Le CLIENT est seul responsable de la qualité, de la licéité, de la pertinence des DONNEES et contenus qu’il transmet aux fins d’utilisation de la Machine Virtuelle et/ou de la Solution Logicielle. Il garantit en outre être titulaire des droits de propriété intellectuelle lui permettant d’utiliser les DONNEES et contenus. En conséquence le TITULAIRE dégage toute responsabilité en cas de non-conformité des DONNEES et/ou des contenus aux lois et règlements, à l’ordre public ou encore aux besoins du CLIENT.

Le CLIENT garantit le TITULAIRE contre tout préjudice qui résulterait de sa mise en cause par un tiers pour une violation de cette garantie.

Plus généralement, le CLIENT est seul responsable des contenus et messages diffusés et/ou téléchargés via la Machine Virtuelle et/ou la Solution Logicielle. Le CLIENT demeure le seul propriétaire des DONNEES constituant le contenu de la Solution Logicielle.

3. Sécurité des données 

Chacune des Parties s’engage à mettre en œuvre les moyens techniques appropriés pour assurer la sécurité des DONNEES. Le TITULAIRE et l’HEBERGEUR s’engagent conjointement à une sécurité du SERVEUR sur le plan physique et logiciel.

4. Confidentialité des données 

Chacune des Parties s’oblige à tenir confidentielles toutes les informations qu’elle reçoit de l’autre Partie, et notamment à ne pas divulguer les informations confidentielles de l’autre Partie à un tiers quelconque, autre que des employés ou agents ayant besoin de les connaître ; et n’utiliser les informations confidentielles de l’autre Partie qu’à l’effet d’exercer ses droits et de remplir ses obligations aux termes des présentes.

Nonobstant ce qui précède, aucune des Parties n’a d’obligation quelconque à l’égard d’informations qui tombent ou tomberaient dans le domaine public indépendamment d’une faute par la Partie les recevant, soit développées à titre indépendant par la Partie les recevant, soit connues de la Partie les recevant avant que l’autre Partie ne les lui divulgue, soit légitimement reçues d’un tiers non soumis à une obligation de confidentialité, soit divulguées en vertu de la loi ou sur ordre d’un tribunal (auquel cas elles ne devront être divulguées que dans la mesure requise et après en avoir prévenu par écrit la Partie les ayant fournies).

Au titre de l’exécution des présentes, le TITULAIRE s’engage à mettre à disposition une Machine Virtuelle dans les conditions de disponibilité, de continuité et de qualité de service définies aux présentes. Le TITULAIRE est assujetti à une obligation de moyens eu égard à la technicité des technologies mises en œuvre.

En cas de défaillance des SERVEURS de l’HEBERGEUR (matérielle, télécom, réseaux…), le CLIENT bénéficie des garanties apportées par l’HEBERGEUR chez lequel la Machine Virtuelle est installée, conformément aux annexes des présentes. 

Chacune des Parties assume la responsabilité des conséquences résultant de ses fautes, erreurs ou omissions, ainsi que des fautes, erreurs ou omissions de ses sous-traitants et/ou CLIENTS éventuels et causant un dommage direct à l'autre Partie.

En conséquence, le TITULAIRE ne pourra en aucune circonstance encourir de responsabilité au titre des pertes ou dommages indirects ou imprévisibles du CLIENT ou des tiers, ce qui inclut notamment tout gain manqué, perte, inexactitude ou corruption de fichiers ou de données, préjudice commercial, perte de chiffre d'affaires ou de bénéfice, perte de clientèle, perte d'une chance, coût de l’obtention d’un produit, d’un service ou de technologie de substitution, en relation ou provenant de l’inexécution ou de l’exécution fautive des prestations.  

Le TITULAIRE ne saurait, en outre, être tenu responsable de la destruction accidentelle des Données par le CLIENT ou un tiers ayant accédé à la Machine Virtuelle au moyen des identifiants remis au CLIENT. 

Le TITULAIRE n’est pas responsable de l’adéquation du dimensionnement de la Machine Virtuelle aux besoins du CLIENT.

Le TITULAIRE ne pourra en aucun cas être tenu pour responsable de tout dommage en cas de préjudice causé par une interruption ou une baisse de service de l’opérateur de télécommunications, du fournisseur d’électricité ou en cas de force majeure : grève totale ou partielle, interne ou externe à l’entreprise, incendie, catastrophe naturelle, état de guerre, acte de piratage informatique ou plus généralement tout autre évènement de force majeure présentant les caractéristiques définies par la jurisprudence.

Le TITULAIRE ne pourra être tenu responsable de l’impact éventuel d’une indisponibilité sur les activités du CLIENT. 

En cas de prononcé d'une quelconque responsabilité du TITULAIRE, notamment, en cas d’atteinte à l’intégrité ou à la confidentialité des Données consécutive d’une faute du TITULAIRE prouvée par le CLIENT, la responsabilité du TITULAIRE sera, de convention expresse, limitée aux dommages directs subis par le seul CLIENT, et ne pourront être supérieurs à une somme égale à six (6) mois de redevance contractuelle, à l’exclusion de toute autre indemnisation.

En cas d’incident au cours de l’exécution du service du fait du TITULAIRE, quelle qu’en soit la cause, le CLIENT gardera à sa charge les frais des dommages occasionnés à ses Données et au système informatique.

• La responsabilité du TITULAIRE ne saurait être engagée en cas de dommage résultant d’un manquement du CLIENT à ses obligations contractuelles notamment celles listées à la rubrique Obligations du CLIENT dans le cadre de la garantie.

En cas de manquement de l'une des parties à ses obligations, la partie qui s'en prévaudra pourra résilier la prestation d’hébergement objet des présentes. Cette résiliation interviendra après mise en demeure avec accusé de réception restée sans effet et à l'expiration d'un délai de quinze jours ouvrés suivant l'avis de réception.

Dans l’hypothèse d’une résiliation, les prestations de réversibilité seront mises en œuvre conformément à l’article « Réversibilité ».

En contrepartie des prestations décrites dans les présentes, le CLIENT s’engage à payer la redevance annuelle conformément au devis et/ou commande.

La facturation sera annuelle, terme à échoir et payable à 30 jours nets date de réception de la facture, sauf en cas de clause spécifique mentionnée aux conditions particulières.

Le montant de la redevance sera actualisé annuellement selon la formule SYNTEC de révision de prix : 

P1= P0 x (S1/S0)

Dans laquelle : 

P1 est le prix révisé,

P0 est le prix d'origine,

S1 est le dernier indice SYNTEC (coût des salaires des sociétés d’études et de conseil) connu à la date de facturation,

S0 est l’indice SYNTEC de référence retenu indiqué aux conditions particulières ou à défaut le dernier connu à la date contractuelle d'origine.

De convention expresse et sauf report sollicité à temps et accordé par le TITULAIRE de manière particulière, le défaut de paiement à échéance entraînera de plein droit et sans mise en demeure préalable la suspension des services et l’exigibilité immédiate des sommes dues.

Le CLIENT est et demeure propriétaire de l’ensemble des DONNEES qu’il utilise via la Machine Virtuelle dans le cadre des CGU / CGV ainsi que de la licence d’utilisation qu’il a souscrit sur le logiciel à héberger. 

Le CLIENT concède au TITULAIRE un droit de reproduction des Données, personnel, incessible, non exclusif et non transmissible, aux seules fins d’exécution du service d’hébergement, pour la durée des présentes limité à la France.

Le CLIENT garantit ainsi le TITULAIRE contre toute action ou revendication fondée sur la violation des droits d’un tiers par les Données fournies dans le cadre de l’hébergement.

L’HEBERGEUR et/ou le TITULAIRE sont et demeurent propriétaires de tout SERVEUR et /ou Machine Virtuelle mis à disposition du CLIENT dans le cadre des prestations d’hébergement.

La licence de l’OS est rattachée au SERVEUR.

En cas de cessation de la relation contractuelle, quelle qu’en soit la cause, le TITULAIRE s’engage à détruire, l’ensemble des Données appartenant au CLIENT.

Sur demande et moyennant facturation supplémentaire, le TITULAIRE pourra, si cela lui est possible, réaliser la prestation de rechargement des Données du CLIENT sur le système que ce dernier aura sélectionné, à charge pour le CLIENT de s’assurer de la parfaite compatibilité de l’ensemble, ainsi que des prestations d’assistance technique complémentaires si nécessaire.

Sur demande et moyennant facturation supplémentaire, le TITULAIRE pourra, si cela lui est possible, réaliser la prestation de réinstallation des Livrables Informatiques dont le CLIENT a acquis les droits d’utilisation sur une autre infrastructure, dans le cadre du plan de réversibilité et d’un budget dédié.

Aucune des Parties ne peut être tenue responsable d’un quelconque manquement à l’exécution des CGU / CGV dans la mesure où celui-ci résulterait d’un cas de force majeure. 

Sont considérés comme cas de force majeure ou cas fortuits les cas habituellement retenus par la jurisprudence française, les grèves, intempéries, blocages des moyens de transport ou d’approvisionnement, pour quelque raison que ce soit ou tout autre cas indépendant de la volonté expresse des parties empêchant l’exécution normale des présentes.

Le TITULAIRE pourra faire état, notamment dans ses documents commerciaux ou publicitaires, de ce que le TITULAIRE a réalisé des prestations pour le compte du CLIENT et le TITULAIRE pourra soumettre le produit de ces prestations à toute compétition qu’il jugera utile, même si cela le conduit à mentionner la marque ou à faire apparaître un signe distinctif du CLIENT.

Chacune des parties renonce, sauf accord écrit préalable, à faire directement ou indirectement des offres d’engagement à un collaborateur de l’autre partie affecté à l’exécution des prestations ou à le prendre à son service, sous quelque forme que ce soit. Cette renonciation est valable pendant la durée de la commande et les 12 mois suivant la fin de la commande.

Dans le cas où l’une des parties ne respecteraient pas cet engagement, elle serait tenue de dédommager l’autre partie en lui versant une indemnité égale aux douze derniers mois de rémunération brute de ce collaborateur.

Les présentes stipulations prévalent sur toute clause contraire pouvant figurer dans les conditions générales d’achat ou autres écrits du CLIENT, même transmises postérieurement aux présentes, à moins que le TITULAIRE ait spécifiquement donné son accord écrit à l’application d’une telle stipulation. Un tel accord écrit spécifique sera également nécessaire à l’application de clauses de conditions générales ou d’autres écrits du CLIENT qui seraient relatifs à des questions non prévues aux présentes, dès lors qu’elles seraient contraires à une disposition supplétive issue des lois, décrets ou règlements en vigueur.

Le CLIENT donne expressément et par avance son accord à toute cession ou transfert par le TITULAIRE de la commande, au cessionnaire de son choix, notamment en cas de transfert de tout ou partie des actifs ou actions du TITULAIRE, de quelque manière que ce soit, par exemple par acquisition, fusion, absorption, cession.

Le CLIENT autorise expressément le TITULAIRE à mentionner à titre de référence commerciale, l'existence et l'objet de la commande dans le cadre de ses documents commerciaux (papiers et électroniques, ex : sites internet, email, etc.) diffusés notamment auprès de sa clientèle et de ses prospects.

Le TITULAIRE est garanti en responsabilité civile professionnelle pour tous les dommages matériels et immatériels qui pourraient être causés au CLIENT par ses collaborateurs lors de l'exécution de la commande et ce, dans la limite des clauses et conditions de ses polices.

Le CLIENT s’engage à assurer en toutes circonstances la confidentialité du Logiciel et d’en empêcher toute divulgation ou communication totale ou partielle à des tiers.

Le CLIENT s’engage à assurer en toutes circonstances la confidentialité des Prestations et d’en empêcher toute divulgation ou communication totale ou partielle à des tiers.

Le CLIENT s’engage à prendre toutes les mesures nécessaires pour que son personnel respecte cette obligation.

Chacune des deux Parties s’engage à conserver secrète et à ne pas divulguer toute information que la mise en place et l’exécution de la commande leur aura permis d’obtenir sur l’autre Partie et son activité, pendant la durée de la commande . Notamment, sont strictement confidentiels le modèle de données, la définition des tables et des champs de la base de données, ainsi que la structure de la base de données du Logiciel.

Le CLIENT ne doit en aucune manière porter à la connaissance de tiers, directement ou indirectement, les enseignements qu’il aura pu tirer de l’exécution de la commande sur le Logiciel et le savoir-faire afférent à celui-ci.

Une dérogation à la présente stipulation supposerait l’accord écrit préalable du TITULAIRE.

Les présentes obligations de confidentialité imposées aux Parties resteront en vigueur pendant une durée de cinq ans à compter de la fin de la commande et ce, pour quelque cause que ce soit.

Sont exclues du champ de confidentialité les informations qui sont ou viennent à la connaissance de l’autre partie par publication officielle. 

Si une ou plusieurs stipulations des CGU / CGV devaient être tenues pour invalides, les autres stipulations conserveraient leur pleine validité sauf si elles présentaient un caractère Indissociable avec la disposition invalide ou si les CGU / CGV se trouvaient dénaturées dans son esprit par la suppression des dispositions non-valables.

Dans l'hypothèse où une ou plusieurs clauses des présentes seraient annulées par une juridiction compétente, les autres clauses conserveront leur plein effet.

Aucune action judiciaire, quelle qu'elle soit, ne pourra être engagée dans le cadre de la commande par le CLIENT plus de deux ans après la survenance de l'évènement à l'origine de cette action.

Les CGU / CGV ont été rédigées en langue française, laquelle prévaut sur toute autre langue de traduction utilisée.

Les présentes sont soumises au droit français. En cas de difficulté pour l'application des présentes ou l'un de leurs avenants, les parties décident de se soumettre préalablement à une procédure amiable.

En cas de litige, et après tentative de recherche d'une solution, compétence expresse est attribuée aux juridictions compétentes du siège social de 1SPATIAL France SAS et ce, quel que soit le lieu d'exécution de la commande ou du domicile du défendeur, nonobstant appel en garantie ou pluralité de défendeurs même pour les procédures d'urgence ou les procédures conservatoires, en référé ou par requête.

• Disponibilité du SERVEUR de l’HEBERGEUR et de la bande passante : 99 %.
• Lieu de stockage du SERVEUR de l’HEBERGEUR et des données : France
• Etendue du Backup :
• L’ensemble de la Machine Virtuelle incluant la Solution Logicielle et les données associées.
• Les backups sont effectués avec la solution Veeam Backup et Réplication
• Lieu de stockage des back up

Les back up sont sauvegardés dans le Cloud de backup de l’HEBERGEUR situé sur un autre SITE distant en France géographiquement éloigné de plusieurs kilomètres de son datacenter.

• Rythme de sauvegarde des Backup : quotidien avec rétention des données sur 7 jours (délai durant lequel les données sont conservées).
• Restauration d’une Machine Virtuelle (Plan de reprise d’activité)

En cas d’incident sur la Machine Virtuelle CLIENT dont il est impossible d’en corriger la problématique survenue, une restauration de la Machine Virtuelle à partir de la dernière sauvegarde pourra être réalisée (RPO 24h), sous 4 heures à demande de restauration.

• Garantie de disponibilité de la Machine Virtuelle : 24 heures sur 24, 7 jours sur 7
•  Volumétrie : débit instantané disponible : 100 Mbits/s. Débit Garanti : 10 Mbits/s. 
• Délai de prévenance en cas d’indisponibilité programmée du SERVEUR de l’HEBERGEUR ou de la Machine Virtuelle : 48 heures.

SUPPORT DE LA MACHINE VIRTUELLE ET GESTION DES INCIDENTS

Horaires du Service Support: Du lundi au vendredi de 9h - 12h30 ; 13h30 - 17h à l’exclusion des jours fériés du TITULAIRE et des ponts s’y rattachant. 

Moyens de contact du Service Support

• via le PORTAIL SUPPORT : https://1spatial.force.com/success/
• via le téléphone (En cas d’urgence seulement)  : 01 71 33 01 01

Procédure en cas d’indisponibilité de la Machine Virtuelle :

Le CLIENT ouvre un ticket d’incident à l’adresse https://1spatial.force.com/success/

Cette indisponibilité devra être validée par le TITULAIRE. La revendication des pénalités ci-après est conditionnée au respect de cette procédure.

• Délai de rétablissement en cas d’indisponibilité de la Machine Virtuelle (garantie de temps de rétablissement : GTR) : 4 heures à compter de l’enregistrement du ticket d’incident selon procédure ci-dessus. 

Clôture du ticket lors de la validation de fin d’incident par le client

• Pénalités en cas de non-respect de la GTR 

En cas de réclamation du CLIENT fondée sur le non-respect de la GTR de la Machine Virtuelle dans les temps et la procédure visée ci-dessus, imputable au TITULAIRE, hors période de maintenance planifiée et interruption pour cause de sécurité, le TITULAIRE accordera au CLIENT un avoir de 3% de la redevance mensuelle.

• En tout état de cause, le montant cumulé de l’ensemble des avoirs (toute cause confondue, dont les pénalités) accordés par le TITULAIRE au titre d’un mois ne peut excéder 7% du montant HT de la redevance mensuelle payée par le CLIENT au titre de la Machine Virtuelle concernée.
• En outre, le non-respect de la GTR au titre de trois (3) mois sur une période de six (6) mois consécutifs, ouvre droit à la résiliation du Contrat par le CLIENT moyennant un préavis de 3 mois à compter de la réception d’un courrier avec accusé de réception envoyé par le CLIENT à cet effet, sans que cela ouvre droit à indemnité pour le CLIENT.

L’HEBERGEUR : EOLAS est basé à Grenoble (Isère)

• Garantit une Disponibilité de l’infrastructure et de la bande passante à 99 %.
• Est doté d’un excellent niveau de protection physique d’alimentations redondantes, de détection/extinction incendie et a été conçu pour assurer la sécurité et la connectivité des équipements de ses clients.
• Est certifié ISO 27001 et d’équivalence Tier3+.
• Est labellisé « Entreprise Numérique Responsable » pour son impact environnemental. 
• Pour fournir un niveau de sécurité et de performances optimales, L’HEBERGEUR est interconnecté (transport, transit IP, Peering) avec les principaux opérateurs.

A ce titre, L’HEBERGEUR est à même de proposer des services de Bande Passante garantie, en s’appuyant sur différents opérateurs afin de fournir une fiabilité « carrier class » et des temps de latence très faibles.

• Les infrastructures de L’HEBERGEUR sont présentes en trois lieux distincts. L’interconnexion de ces 3 sites est réalisée en fibre optique.  Cette infrastructure permet de fournir des architectures PRA et de disposer de sites différents pour les sauvegardes et stockage sur bandes magnétiques (Disk ToDisk To Tape).

Préambule

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD ») impose de nouvelles obligations relatives au traitement des données personnelles, pour le CLIENT en tant que responsable du traitement, et pour son sous-traitant éventuel (le TITULAIRE).

1SPATIAL est à ce titre votre sous-traitant et pourra intervenir sur des systèmes de traitement pouvant concerner des données personnelles, ou effectuer pour votre organisme des traitements de données dont certaines pourront avoir le caractère de données personnelles.

Notre entreprise est dans une démarche de mutation Agile lui permettant de s’adapter rapidement aux nouvelles exigences de ses CLIENTS par la mise en place de processus simplifiés et évolutifs.

Objet

La présente Convention a pour objet de vous garantir à compter du 25/05/2018, la conformité des services rendus par notre société, et son engagement à respecter les nouvelles obligations relatives au traitement des données personnelles.

Les traitements susceptibles de concerner des données à caractère personnel et pouvant être effectués au sein de votre organisme sont principalement les suivants : 

• Prestations de services informatiques (hébergement, maintenance, …) ;
• Installation et mise en œuvre de logiciels ;
• Traitement et intégration de données (isolées ou en base de données) ;
• Fourniture de services numériques ayant accès aux données.

Obligation du sous-traitant (Le TITULAIRE)

Dans le cadre de sa politique de sécurité, le sous-traitant s'engage :

• A traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
• A traiter les données conformément aux instructions du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement ;
• A garantir la confidentialité des données à caractère personnel traitées dans le cadre des présentes ;
• A veiller à ce que les personnes autorisées à traiter les données à caractère personnel :
• S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• Reçoivent l’information nécessaire en matière de protection des données à caractère personnel ;
• Soient destinataires des instructions transmises par écrit par le responsable de traitement (CLIENT).
• A prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
• A obtenir l’autorisation écrite préalable et spécifique du responsable de traitement dans le cas où le sous-traitant souhaite faire intervenir un sous-traitant ultérieur.

Les contrats conclus avec un sous-traitant ultérieur doivent contenir des engagements au moins aussi stricts que ceux prévus par les présentes et respecter le Droit applicable. Le responsable de traitement pourra demander communication de ces contrats.

Le sous-traitant restera pleinement responsable envers le responsable de traitement en cas de non-respect par le sous-traitant ultérieur de ses obligations en matière de protection des données personnelles.

• En cas de violation de données personnelles au sens du Droit applicable, ou si le sous-traitant a tout lieu de croire qu’une violation de données a eu lieu, à informer par écrit le responsable de traitement, au plus tard dans les soixante-douze (72h) heures après en avoir pris connaissance.

Le sous-traitant s’engage à coopérer avec le responsable de traitement lors de toute formalité légale ou judiciaire que ce dernier souhaiterait accomplir (notification à la CNIL, notification aux personnes concernées, dépôt de plainte, action en justice, etc.) en lui communiquant notamment toute information dont il aurait besoin à cette fin. Le sous-traitant prendra sans délai toute mesure corrective appropriée afin de remédier aux causes de la violation de données personnelles.

Obligation du responsable du traitement (le CLIENT)

Le responsable de traitement s’engage à :

• Fournir au sous-traitant les données visées au 21.3.3 des présentes clauses ;
• Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant, et notamment préciser si ces données répondent aux critères leur donnant le caractère de données personnelles ;
• Veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ;
• Superviser le traitement, y compris réaliser le cas échéant les audits et les inspections auprès du sous-traitant ;
• Fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Exercice des droits des personnes

Le sous-traitant s’engage à communiquer au responsable de traitement dans les plus brefs délais, toute demande exercée par les personnes concernées, en application du Droit applicable, qui serait portée à sa connaissance.

Dans la mesure du possible, le sous-traitant aidera le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Transfert des données

Le transfert de données personnelles en dehors de l’Union européenne est interdit sans autorisation préalable et écrite de responsable de traitement. 

En cas d’autorisation de transfert dans un pays tiers hors UE, le sous-traitant s’engage à mettre en œuvre, ou obtient du sous-traitant ultérieur qu’il mette en œuvre, les formalités et procédures requises par le Droit applicable pour la mise en œuvre d’un tel transfert de données.

Sécurité des données personnelles

Le sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres la pseudonymisation et le chiffrement des données à caractère personnel, les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.

Délégué à la protection des données (DPO)

Le sous-traitant a désigné un Délégué à la protection des données (DPO). Il est le point de contact privilégié du responsable de traitement. Il est joignable à l’adresse cnil@1spatial.com.

Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

• Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du Délégué à la protection des données ;
• Les catégories de traitements effectués pour le compte du responsable de traitement;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
• La pseudonymisation et le chiffrement des données à caractère personnel ;
• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Documentation

Le sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires en sa possession pour démontrer le respect des obligations prévues par le Droit applicable et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.