CONDITIONS GÉNÉRALES DE SERVICES C-Clerc

La société C-CLERC (ci-après dénommée «laSociété»ou «C-CLERC») est une société par actions simplifiée au capital de 1.112 euros, dont le siège social est situé 4 Boulevard des Sablons 92200 Neuilly-sur-Seine, France, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 949 182 737.

C-CLERC a pour activité la fourniture et la commercialisation de divers systèmes et solutions informatiques, permettant notamment à ses clients exerçant la profession de notaire de la gestion de la relation client (CRM). Ces logiciels sont disponibles en mode SaaS « Serviceas aSoftware » (ci-après désignés la « Solution »).

Les présentes Conditions Générales de Services (ci-après désignées les « CGS ») définissent le cadre légal et technique de l’utilisation de la Solution par les clients de la Société (ci-après dénommés les «Clients»). La Société et le Client étant également ci-après dénommés conjointement les « Parties»et individuellement une «Partie».

Dans le cadre de son devoir d’information et de conseil, C-CLERC a mis à la disposition du Client de la documentation présentant la Solution ainsi que les présentes CGS dont le Client reconnaît avoir pris connaissance. Il appartient au Client, notamment sur la base de ces informations, de s’assurer de l’adéquation de la Solution à ses besoins propres.

Chaque Client déclare et reconnaît, en conséquence, avoir lu et compris les dispositions des présentes CGS, lesquelles sont disponibles à tout instant sur le site internet, dans un onglet dédié à cet effet, à l’adresse app.C-CLERC.fr (ci-après désigné le

«Site»). En utilisant la Solution, les Clients déclarent accepter sans réserve les présentes CGS. À tout moment, si un Client est en désaccord avec l’une des clauses des CGS, il doit immédiatement mettre fin à l’utilisation de la Solution.

L’édition et la publication du Site sont assurées par la Société.

Il est possible de contacter la Société à l’adresse indiquée en tête des présentes, par courrier électronique à l’adresse (o) ou par téléphone au +(o)

ARTICLE 1. DÉFINITIONS

Abonnement : désigne l’accord entre C-CLERC et le Client visant à la fourniture de la Solution en mode SaaS en contrepartie du versement d’un certain montant. L’abonnement est variable en fonction du nombre d’utilisateurs, d’administrateurs et des métriques propres aux Services.

Administrateur : désigne le Client ou toute personne habilitée par ce dernier, ou un système logique ou physique, bénéficiant d’un accès administrateur au Services.

Bon de Commande / Conditions particulières : désigne la commande du Client pour la fourniture de la Solution, ainsi que toutes ces spécificités particulières.

Documentation : désigne les informations fournies par C-CLERC sous la forme d’une documentation utilisateur accompagnant la Solution et comprenant l’ensemble des fonctions et spécificités de cette Solution.

DonnéesClient:désigne les informations (dont les Données Personnelles) dont le Client est responsable qu’il saisit, renseigne, transmet et traite dans le cadre de son utilisation de la Solution. Les Données Clients sont les suivantes (liste non exhaustive) :

• Utilisateur iNot (nom prénom mail etude CRPCEN)
• Dossiers iNot sans les documents
• Coordonnées serveurs email étude
• Informations relatives aux clients de l’étude

DonnéesSEPTEO: désigne les Données du Client stockées (sur serveur ou Cloud) via une entreprise tierce, SEPTEO.

Données Personnelles : désigne les données à caractère personnel au sens du règlement n°2016/679 dit règlement général sur la protection des données (« RGPD») que le Client collecte, saisit, renseigne, transmet ou traite dans le cadre de l’utilisation de la Solution.

Identifiants : désigne tant l’identifiant propre de l’utilisateur principal que le mot de passe de connexion à la Solution, communiqués par C-CLERC.

Internet: désigne l’ensemble de réseaux interconnectés, lesquels sont localisés dans toutes les régions du monde.

Mise à Jour : désigne les améliorations apportées à la Solution, décidées unilatéralement par C-CLERC, au regard des évolutions fonctionnelles et sous réserve que de telles adaptations ou évolutions ne rendent pas nécessaire la réécriture d’une partie substantielle de la Solution. Les Mises à Jour comprennent également la correction d’éventuelles anomalies de la Solution par rapport à la Documentation.

PréRequisTechniques: désigne les configurations minimales requises pour permettre une utilisation optimale de la Solution par le Client. Les Pré Requis Techniques figurent en Annexe n°1 des présentes CGS.

Solution:désigne le logiciel en mode SaaS, tel que désigné dans la Documentation transmise au Client, permettant à celui-ci d’automatiser l’envoi de divers cadeaux professionnels à destination de ses clients.

ServicesAssociés:désigne l’ensemble des prestations dont le Client bénéficie dans le cadre de la concession du droit d’utilisation de la Solution.

Support : désigne l’assistance à l’utilisation de la Solution. Le Support ne pourra être assuré par la Société que dans la mesure où le Client dispose des dispositifs techniques permettant le Support.

Utilisateur:désigne une personne physique faisant partie du personnel du Client et habilitée par ce dernier, ou un système logique ou physique, pouvant avoir accès à la Solution pour un usage professionnel.

ARTICLE 2. OBJET ET DURÉE

• Les présentes CGS ont pour objet de définir les conditions dans lesquelles C-CLERC concède au Client, d’après les conditions tarifaires indiquées dans le Bon de Commande signé par les Parties, un droit d’utilisation de la Solution en mode SaaS et fournit au Client les Services Associés à cette Solution.

Les présentes CGS sont conclues entre les Parties pendant toute la durée de fourniture de l’Abonnement souscrit par le Client. La Société se réserve le droit de modifier les présentes CGS à tout moment. Toute modification prendra effet à compter de leur publication. Les Clients acceptent d’être avertis des CGS mises à jour qui prévaudra sur toutes les autres, par leur publication sur le Site.

• Sauf stipulations contraires particulières contenues dans un Bon de Commande, la Solution est concédée pour une durée déterminée dans le Bon de Commande et notamment, au mois ou à l’année.

Il sera ensuite renouvelé par périodes consécutives d’une période identique, par tacite reconduction. La Partie qui déciderait de ne pas renouveler l’Abonnement devra notifier cette décision à l’autre Partie par courriel électronique recommandé ou courrier recommandé avec avis de reception, dans les délais suivants :

• Pour un engagement au mois, un préavis de un (1) mois ;
• Pour un engagement à l’année,un préavis de deux (2) mois ;

ARTICLE 3. FOURNITURE DE LA SOLUTION

• En contrepartie du paiement de l’Abonnement, C-CLERC concède au Client un droit d’accès et d’utilisation à la Solution. Ce droit d’accès et d’utilisation est consenti pour les seuls besoins de fonctionnement interne du Client dans la limite des droits acquis définis dans le Bon de Commande.

Le droit d’utilisation concédé est limité au nombre d’Utilisateurs nommés, selon les modalités définies au Bon de Commande. Par Utilisateur nommé, on entend :

• Soit les Utilisateurs, personnes physiques, désignés par le Client disposant d’un identifiant et d’un mot de passe personnel et pouvant accéder à la Solution ;

• Et/ou soit les systèmes logiques ou physiques accédant et opérant des traitements avec la Solution (postes, mobile etc.). Ce droit d’accès à la Solution est accordé exclusivement pour les besoins professionnels du Client.

• C-CLERC s’engage à fournir la Solution conformément aux dispositions du Bon de Commande correspondant, qui précise notamment le contenu, les limitations, la durée si celle-ci est allongée, les procédures associées, les modalités de mise en place des Mises à Jour et du Support.

Les Clients reconnaissent toutefois, que ne sont pas inclus dans l’Abonnement :

• Les travaux et interventions concernant l’installation et le bon fonctionnement du poste de travail de l’Utilisateur et de l’infrastructure du Client (télécommunications, réseaux, équipements de sécurité) permettant à celui-ci d’accéder et d’utiliser la Solution ; et

• La formation à l’utilisation de la Soluition ;

• La résolution de problèmes causés par une erreur ou une mauvaise manipulation des Utilisateurs.

ARTICLE 4. ACCÈS A LA SOLUTION

• Le Client accède et bénéficie des fonctionnalités de la Solution par le biais d’un accès par le réseau Internet. Le Client pourra accéder et utiliser la Solution à tout moment (24/24 heures et 7/7 jours), à l’exception des périodes d’interruption liées aux opérations de maintenance et sous réserve des périodes d’indisponibilité de la Solution.Etant précisé que l’indisponibilité des services de la solution informatique SEPTEO pourra entrainer l’indisponibilité des fonctionnalités de la Solution.

• Les Utilisateurs devront se munir de systèmes d’exploitation et navigateurs Internet compatibles avec la Solution. Les comptabilités techniques avec la Solution figurent dans le Bon de Commande.

• L’accès à la Solution s’effectue au moyen des Identifiants fournis au Client par C-CLERC et/ou par voie de l’invitation par l’Utilisateur principal et/ou tout autre Utilisateur de la Solution.

Ces Identifiants sont destinés à réserver l’accès aux Utilisateurs du Client, protéger l’intégrité et la disponibilité de la Solution ainsi que la confidentialité des Données du Client telles que transmises par les Utilisateurs.

Les Identifiants sont personnels et confidentiels, et ne peuvent être changés que sur demande du Client. Le Client se doit de conserver secret les Identifiants fournis par C-CLERC et à ne pas les divulguer sous quelque forme que ce soit.

Le Client est entièrement responsable de l’utilisation des Identifiants par les Utilisateurs. Il s’assurera qu’aucune autre personne non autorisée par C-CLERC n’ait accès à la Solution. De manière générale, le Client assume la sécurité des systèmes d’accès à la Solution.

En cas de perte d’un Identifiant, le Client en informera C-CLERC et utilisera la procédure de récupération des Identifiants mise en place par C-CLERC.

ARTICLE 5. MISE À JOUR – MAINTENANCE

• Le Client est informé que les évolutions législatives et réglementaires peuvent, à tout moment, rendre inadaptée la Solution.

C-CLERC, dans le cadre du Support, fera une Mise à Jour de la Solution standard afin que la Solution satisfasse aux nouvelles dispositions légales et réglementaires et ce sous réserve que de telles adaptations ou évolutions ne rendent pas nécessaire la réécriture d’une partie substantielle de la Solution.

Le Client est également informé que l’évolution des technologies, de la solution informatique SEPTEO et de la demande de sa clientèle peuvent amener C-CLERC à réaliser des Mises à Jour, lesquelles pourront entrainer une évolution des Pré Requis Techniques, dont C-CLERC ne pourra être tenue responsable.

• Afin de garantir une utilisation optimale de la Solution, C-CLERC vérifiera régulièrement le bon fonctionnement de la Solution afin de détecter les risques d’anomalies de fonctionnement et d’y remédier par anticipation.

C-CLERC assurera, pendant toute la durée des Services, les prestations de maintenance correctives et évolutives de la Solution.

• LERC maintiendra les Services opérationnels, notamment en se dotant d’équipes et de procédures de maintenance adaptées et d’un processus de reprise de l’exploitation en cas de sinistre robuste et adapté. C-CLERC s’engage également à réaliser de façon continue les améliorations sur les fonctionnalités existantes et les rectifications des anomalies de fonctionnement de la Solution.

Les signalements d’anomalies de la Solution doivent être confirmés par email à C-CLERC sans délai. C-CLERC procèdera au diagnostic de l’anomalie et mettra ensuite en œuvre sa correction.

Cependant, le Client reconnait avoir été informé que dans le cadre de l’obligation de correction des anomalies, C-CLERC ne saurait être tenue responsable dans les cas suivants :

• Refus du Client de collaborer avec C-CLERC dans la résolution des anomalies et notamment de répondre aux questions et demandes de renseignement ;
• Utilisation de la Solution de manière non conforme à sa destination ou à sa documentation ;
• Manquement du Client à ses obligations au titre des présentes CGS ;
• Acte volontaire de dégradation, malveillance, sabotage ;
• Détérioration due à un cas de force majeure ou à une mauvaise utilisation de la Solution.

Pour les besoins des opérations de maintenance de la Solution, l’utilisation de la Solution pourra être interrompue, en général pendant les heures non ouvrées et les jours non ouvrés. Les Utilisateurs seront préalablement avertis des opérations de maintenance par e-mails et à travers une fenêtre d’information lors de l’accès à la Solution.

ARTICLE 6. SERVICES ASSOCIÉS

• Stockagedesdonnéesetmesuresdesécurité

L’ensemble des Données Client est stocké dans une base de données, sur un ou plusieurs serveurs situés sur un site dédié et sécurisé.

Les Données SEPTEO, appartenant au Client, et stockées sur les serveurs SEPTEO ou les serveurs du Client, ne sont pas stockés par la Société.

C-CLERC s’engage à mettre en œuvre les moyens techniques conformes à l’état de l’art pour assurer la sécurité physique et logique des serveurs et réseaux qui sont sous sa responsabilité et son contrôle. Dès qu’elle en a connaissance, chacune des Parties signalera, dans les plus brefs délais, à l’autre Partie tout fait susceptible de constituer une atteinte à la sécurité physique ou logique de l’environnement de l’autre Partie (tentative d’intrusion par exemple).

• LERC s’engage à prendre toutes précautions utiles conformément à l’état de l’art pour préserver la sécurité des Données afin qu’elles ne soient pas, de son fait, déformées, endommagées ou communiquées à des tiers non-autorisés.

En conséquence, C-CLERC s’engage à respecter et à faire respecter par son personnel les obligations suivantes :

• Ne pas faire de copies des documents et des supports des Données qui lui sont confiés, sauf celles strictement nécessaires à l’exécution de la Solution ;
• Ne pas utiliser les Données pour d’autres fins que celles des présentes CGS ;

• Ne pas divulguer les Données à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales sauf si cette divulgation est exigée par la loi ou une autorité judiciaire ou administrative compétente ou est nécessaire dans le cadre d’une action judiciaire.

• Système de surveillance

C-CLERC met en œuvre tous les moyens nécessaires pour assurer une traçabilité des utilisateurs par IP, afin d’assurer une exploitation sécurisée de la Solution.

C-CLERC mettra en place un contrôle d’accès aux locaux dans lesquels sont effectuées les prestations relatives à la Solution, de façon à n’en autoriser l’accès qu’aux seules personnes autorisées par C-CLERC ou accompagnées par du personnel autorisé. C-CLERC prendra toutes les dispositions permettant d’éviter les intrusions.

C-CLERC mettra en œuvre les mesures nécessaires pour ne permettre l’accès à la Solution qu’aux personnes autorisées par le Client.

Afin de garantir la confidentialité des données en transit entre l’Utilisateur et le point d’accès à la Solution, toutes les connexions sont sécurisées. Les flux de données, qui empruntent des réseaux de télécommunications non sécurisés, utilisent des protocoles de sécurité reconnus comme par exemple le HTTPS (basé sur SSL/TLS Secure Socket Layer/Transport Layer Security) ou SFTP (basé sur Secure Shell – SSH).

• Assistance et Support

Pendant toute la durée de fourniture de la Solution, C-CLERC fournit aux Utilisateurs désignés par le Client une assistance selon les modalités et les niveaux de services suivants :

• Parcourrierélectronique: du lundi au vendredi de 9h00 à 12h00 et de 14h00 à 18h00 ;
• Partéléphone: du lundi au vendredi de 9h00 à 12h00 et de 14h00 à 18h00 ;

Ce Service Associé a pour but de porter à la connaissance de C-CLERC les éventuels dysfonctionnements de la Solution, non imputables à une mauvaise utilisation ou utilisation non conforme ou à une modification des accès par le Client.

En cas de dysfonctionnements de la Solution constatés par les Utilisateurs, le Client devra indiquer à C-CLERC les conditions d’apparition des dysfonctionnements telles qu’observées par les Utilisateurs ainsi que le niveau de gravité des dysfonctionnements.

C-CLERC s’engage à apporter sans délai une réponse aux dysfonctionnements constatés et portés à sa connaissance par le Client. Dans l’hypothèse où les dysfonctionnements ne peuvent être corrigés dans l’immédiat, C-CLERC mettra en place une solution de contournement afin d’assurer la continuité de l’exploitation de la Solution.

ARTICLE 7. PROPRIÉTÉ DE LA SOLUTION

• La fourniture de la Solution au Client ne confère aucun titre ou aucun droit de propriété intellectuelle sur la Solution. C-CLERC détient l’ensemble des droits de propriété intellectuelle applicables relatifs à la Solution ou déclare, lorsqu’un tiers en détient la propriété intellectuelle, avoir obtenu de ce tiers le droit de commercialiser ou distribuer la Solution.

À ce titre, le Client ne pourra porter atteinte de quelque manière que ce soit à la Solution et notamment d’utiliser la Solution de manière non-conforme à sa destination et aux conditions fixées par les CGS.

En conséquence, le Client s’interdit notamment, et sans que cette liste ne soit exhaustive :

• D’effectuer une ingénierie inverse de la Solution en vue d’élaborer un produit ou service concurrent et/ou de copier, reproduire toutes fonctionnalités, fonctions ou tous attributs graphiques de la Solution.

• Utiliser la Solution autrement que conformément à sa destination professionnelle, c’est-à-dire conformément à leur Documentation et pour les seuls besoins professionnels de son activité ;

• Distribuer la Solution, l’exploiter à des fins commerciales, le mettre à la disposition de tiers ou la louer sauf dispositions contraires figurant dans le Bon de Commande correspondant ;

• D’altérer ou perturber l’intégrité ou l’exécution de la Solution ou des données qui y sont contenues ;

• D’obtenir ou de tenter d’obtenir un accès non autorisé à la Solution ou aux systèmes ou réseaux qui lui sont associés ;

• De procéder à tout téléchargement ou toute reproduction du code de la Solution ou la traduction de la forme de ce code en vue d’obtenir les informations nécessaires à l’interopérabilité de la Solution avec d’autres Logiciels créés de façon indépendante ;

• Procéder à toute décompilation de la Solution en dehors des cas prévus par la loi.

ARTICLE 8. DONNÉES ET FICHIERS

• PropriétédesdonnéesetfichierClient

Les données et fichiers remis par les Utilisateurs à C-CLERC et stockés par les Utilisateurs dans le cadre de l’utilisation de la Solution restent la propriété exclusive du Client.

A ce titre, le Client garantit qu’il est titulaire de tous les droits de propriété intellectuelle sur l’intégralité des pages et données téléchargées via la Solution, c’est-à-dire des droits de reproduction, de représentation et de diffusion relatifs au support Internet, pour une durée préalablement déterminée.

La reproduction ou l’utilisation par C-CLERC des données et fichiers du Client sont interdites.

C-CLERC se réserve toutefois le droit d’accéder aux Données du Client rendues anonymes à des fins de statistiques et d’apprentissage ainsi qu’aux données de navigation et de feedback à des fins de statistiques et d’amélioration.

• Données Personnelles

Il est rappelé que C-CLERC agit en qualité de sous-traitant, sur instructions du Client, lequel est qualifié de responsable du traitement de Données Personnelles. Le Client est informé qu’il lui appartient de procéder, sous sa seule responsabilité, aux démarches, déclarations, demandes d’autorisation prévues par les lois et règlements en vigueur concernant tout traitement qu’il effectue.

Plus généralement, il appartiendra au Client de se mettre en conformité avec toute législation locale applicable exigeant un procédé particulier de déclaration administrative relative aux Données Personnelles. Le Client garantit respecter l’ensemble des obligations qui lui incombent relatives aux Données Personnelles.

Dès lors que des Données Personnelles sont collectées par le Client ou transférées par le Client, ou par C-CLERC sur instruction du Client, il relève de la responsabilité du Client de s’assurer que la collecte, le traitement et/ou le transfert de Données Personnelles est autorisé.

Le Client est et demeure responsable des Données Client. C-CLERC s’interdit d’utiliser, modifier, céder ou transférer à un tiers, en totalité ou en partie, à titre onéreux ou gratuit, les Données qui auront pu lui être communiquées par le Client.

• Utilisation des signes distinctifs du Client

Le Client déclare expressément autoriser C-CLERC à faire usage de ses signes distinctifs à des fins de communication via le Site et notamment :

• Son nom et,
• Son logo.

C-CLERC s’engage expressément à faire usage des signes distinctifs du Client exclusivement dans le respect de la législation en vigueur et des présentes CGS.

ARTICLE 9. GARANTIES ET OBLIGATIONS DE C-CLERC

• Garanties

C-CLERC garantit la conformité de la Solution avec la Documentation transmise au Client.

C-CLERC ne garantit pas que la Solution soit exempte de tous défauts ou aléas mais s’engage exclusivement à remédier, avec toute la diligence raisonnablement possible, aux dysfonctionnements reproductibles constatés par rapport à la Documentation.

Cette garantie de conformité ne saurait être étendue à une garantie de conformité aux besoins spécifiques ou à l’activité spécifique d’un Client ou d’un Utilisateur. C-CLERC ne garantit pas l’aptitude de la Solution à atteindre des objectifs ou des résultats que le Client se serait fixé et/ou à exécuter des tâches particulières qui l’auraient motivé dans sa décision de faire recours aux services proposés par la Société.

C-CLERC ne pourra être tenue pour responsable de tout préjudice ou de tout dommage découlant directement ou indirectement de la mauvaise utilisation par le Client de la Solution.

• Obligations

• C-CLERC s’engage à informer le Client de tout événement qui serait de nature à compromettre la fourniture de la Solution souscrite par le Client, y compris si cet événement est imputable à un tiers. C-CLERC s’engage à mettre en œuvre, l’ensemble des moyens nécessaires à l’exécution de la Solution dans les conditions prévues à l’offre souscrite par le Client.

• C-CLERC s’engage à apporter tout le soin et la diligence nécessaires à la fourniture d’un service de qualité conformément aux usages de la profession. C-CLERC s’engage à :

• Intervenir rapidement en cas d’incident. En cas d’incident grave portant atteinte au bon fonctionnement de l’intégralité de la Solution, C-CLERC, s’efforcera de prendre toute mesure nécessaire à la continuité de la Solution. Pendant cette période le Client accepte que, du fait de cet incident, les performances de la Solution puissent être partiellement dégradées.
• Assurer le maintien au meilleur niveau de la qualité de ses outils ;
• Permettre au Client de masquer ses Données Personnelles ;
• Protéger, dans la mesure du possible, sa plateforme d’hébergement.

• Il est convenu entre les Parties que C-CLERC demeurera, en toutes circonstances, libre de déterminer sa politique d’industrialisation.

Par conséquent C-CLERC pourra sans contrainte concevoir, organiser et dimensionner la Solution, la modifier et la faire évoluer et ce au besoin avec les partenaires et fournisseurs de son choix sans accord écrit préalable du Client, dès lors que cela ne réduit pas les engagements de C-CLERC.

ARTICLE 10. GARANTIES ET OBLIGATIONS DU CLIENT

• Le Client s’engage à respecter les lois et les règlements en vigueur et à ne pas porter atteinte aux droits de tiers ou à l’ordre public.

Le Client se porte garant du respect par les Utilisateurs des présentes CGS et est seul responsable des contenus diffusés et/ou téléchargés via la Solution et assume l’entière responsabilité de l’exactitude, de l’intégrité et de la légalité, de la fiabilité et du caractère opportun des Données transmises à C-CLERC dans le cadre des présentes CGS.

En particulier, compte tenu de l’usage autorisé de la Solution par le Client, celui-ci s’interdit d’envoyer ou de stocker des Données à caractère non professionnel et plus généralement des données à caractère illicite, obscène, diffamatoire ou des Données illégales ou en violation du droit d’un tiers, de la protection des mineurs ou de la vie privée.

• La Solution est utilisée par le Client sous son contrôle, sa direction et sous sa seule responsabilité.

Par conséquent, relèvent de la responsabilité du Client :

• La mise en œuvre de tous procédés et mesures utiles destinés à protéger ses postes de travail Utilisateur, ses matériels, progiciels, logiciels, mots de passe, notamment contre tout virus et intrusions ;

• La mise en place des moyens de sauvegarde nécessaires, extérieurs aux Services Associés fournis par C-CLERC.

• Le respect de la dernière version à jour des Pré Requis Techniques afin d’éviter des conséquences dommageables telles que ralentissements, blocages, altérations des Données ;

• Le choix du fournisseur d’accès ou du support de télécommunication, le Client devant prendre en charge les demandes administratives et contracter les abonnements nécessaires dont il supportera le coût ;

• La désignation, parmi son personnel, d’un contact privilégié de C-CLERC agissant en tant qu’Administrateur, pour le Client, de la Solution et notamment pour ce qui concerne les aspects sécurité ;

• L’utilisation des Identifiants et des codes d’accès qui lui sont remis par C-CLERC à l’occasion de l’exécution de la Solution. Il s’assurera qu’aucune personne non autorisée par ses soins n’a accès à la Solution. En cas d’accès non autorisé, le Client informera C-CLERC sans délai ;

• Les erreurs commises par son personnel dans l’utilisation de la Solution et des procédures qui lui permettent de se connecter à la Solution, notamment concernant les moyens d’accès et de navigation Internet. C-CLERC sera dégagée de toute responsabilité concernant la nature, le contenu des informations ou des Données du Client et l’exploitation qui en découle.

En cas de non-respect de ses engagements, C-CLERC se réserve le droit de limiter, de restreindre, d’interrompre ou de suspendre définitivement tout ou partie de la Solution fournie pendant une durée indéfinie, en cas d’inobservation des avertissements envoyés par C-CLERC.

Toute utilisation de la Solution non conforme à sa destination telle que visée dans les présentes CGS constituerai une atteinte aux droits d’exploitation de la Solution et de ce fait, un acte de contrefaçon.

• Le Client est seul responsable de ses moyens de communication et de liaison. A ce titre, il est convenu que :

• C-CLERC ne serait être tenue responsable des défaillances du réseau ou des modifications apportées au réseau par l’opérateur de télécommunication ou par le Client. Le Client est seul responsable du matériel installé par l’opérateur téléphonique sur ses sites et doit en laisser le libre accès à ce dernier.

• Le réseau Internet est un réseau ouvert et informel, constitué par l’interconnexion de réseaux informatiques mondiaux utilisant la norme TCP/IP ; la gestion de l’Internet n’est soumise à aucune entité centralisée. Chaque portion de ce réseau appartient à un organisme. Les réseaux peuvent avoir des capacités de transmission inégales et non constantes ainsi que des politiques d’utilisation propres. Nul ne peut garantir le bon fonctionnement de l’Internet dans son ensemble.

Il est également convenu que C-CLERC peut à tout moment changer de prestataire de service télécom, sous réserve que le service soit compatible avec les équipements du Client, sans remettre en cause la liaison ou l’accès à la Solution.

ARTICLE 11. RÉCUPÉRATION ET RESTITUTION DES DONNÉES 

À l’échéance de l’Abonnement ou en cas de résiliation, les accès à la Solution sont fermés le dernier jour de l’Abonnement à minuit ou le jour de la résiliation de l’Abonnement.

Le Client devra donc avoir, avant cette échéance, récupéré les Données accessibles au travers des fonctionnalités de la Solution ou avoir demandé à C-CLERC la restitution d’une copie de la dernière sauvegarde des Données.

C-CLERC s’engage à restituer l’ensemble des Données appartenant au Client sous un format ouvert lisible sans difficulté dans un délai de trente (30) jours à dater de la notification de la résiliation ou de la fin de l’Abonnement. En cas de demande particulière du Client, le coût, la durée et le périmètre de cette prestation de réversibilité seront fixés d’un commun accord. C-CLERC émettra un devis spécifique au Client détaillant l’ensemble des conditions et modalités de la prestation de réversibilité.

Cette restitution sera effectuée dans un format standard du marché choisi par C-CLERC et sera mise à disposition du Client sous la forme d’un téléchargement ou si le volume est trop important, par envoi d’un support externe et ce, dans le cadre d’une prestation facturable dans la limite du coût du support externe et de son envoi sécurisé.

À partir du soixantième (60^ème) jour à compter du jour de l’échéance de la Solution ou de sa résiliation, le processus d’effacement des Données sera enclenché aux fins de les rendre inutilisables. Cet effacement s’effectuera sur les données de production ainsi que sur les données sauvegardées et ce, en fonction des durées de rétention des sauvegardes.

ARTICLE 12. DISPOSITIONS FINANCIÈRES

• Prix

Les prix fixés sur le Bon de Commande s’entendent en euros hors taxes. Les conditions financières ainsi que le détail des prix sont mentionnées sur le Bon de Commande.

Toute modification du périmètre initialement déterminé fera l’objet d’un Bon de Commande supplémentaire.

• Révision des prix

Le prix des Solutions et des Services Associés pourra être révisé annuellement le 1^er janvier de chaque année en cas de modifications des règles de fiscalité applicables et/ou de modifications du montant des taxes et redevances liés aux services de télécommunication.

• Modalités de facturation

Sauf dispositions contraires et particulières contenues dans Bon de Commande, les Services seront facturés mensuellement et/ou annuellement, terme à échoir. Une facture sera transmise au Client dès signature du Bon de Commande.

Dans l’hypothèse où le règlement est effectué par prélèvement bancaire, le Client doit impérativement valider et retourner l’autorisation de prélèvement (Mandat SEPA) adressé à C-CLERC. À défaut de réception de cette autorisation, l’Abonnement sera résilié.

• Indemnités de retard

À défaut de paiement à l’échéance, une pénalité pour retard de paiement calculée sur la base d’un taux d’intérêt fixé à trois (3) fois le taux d’intérêt légal ainsi qu’une indemnité forfaitaire pour frai de recouvrement de quarante (40) euros seront exigible par C-CLERC sans mise en demeure préalable. Le cas échéant, lorsque ces frais dépasseront le montant de cette indemnité, C- CLERC pourra réclamer au Client une indemnité complémentaire, sur présentation des justificatifs précisant les diligences accomplies. Ces indemnités ne seront pas appliquées dans les cas où le Client justifie qu’il fait l’objet d’une procédure de redressement ou de liquidation judiciaire.

C-CLERC se réserve le droit, trente (30) jours après l’envoi de la mise en demeure de payer, sous la forme recommandée, restée partiellement ou totalement sans effet, de suspendre les Services et toute prestation en cours jusqu’au paiement intégral des sommes dues. Cette suspension ne peut être considérée comme une résiliation de l’Abonnement.

Tous les frais d’impayés, suite à un rejet bancaire d’un règlement du Client, resteront à la charge financière de ce dernier.

ARTICLE 13. RESPONSABILITÉ

L’utilisation de la Solution et des Services Associés est concédée « en l’état » sans garantie de quelque nature que ce soit, expresse ou tacite, quant à ses performances ou résultats. Les risques inhérents à la qualité, aux performances ou au résultat reposent sur le seul Client.

Le Client reconnait avoir été en mesure d’évaluer préalablement les capacités de la Solution et des Services Associés, notamment concernant les spécificités techniques. Le Client ne pourra exiger la mise en place de nouvelles fonctionnalités ou d’évolutions.

Le Client reconnait avoir été informé que C-CLERC est soumise à une obligation de moyens pour l’exécution des obligations mises à sa charges au titre des présentes CGS.

Le Client reste en tout état de cause responsable de ses équipements informatiques ainsi que ceux utilisés en liaison avec C- CLERC. À aucun moment, C-CLERC ne se porte garante de la fiabilité ou du fonctionnement des réseaux et moyens de télécommunications utilisés.

C-CLERC ne saurait être responsable de la qualité, de la disponibilité et de la fiabilité des réseaux de télécommunications, quel que soit leur nature, en cas de transport des données ou d’accès à Internet, même lorsque le fournisseur est préconisé par C- CLERC.

C-CLERC ne pourra être tenue responsable, tant à l’égard du Client que de tiers, des dommages indirects. Constitue un dommage indirect : le manque à gagner, l’augmentation des frais généraux, la perte de profit ou de clientèle, toute perte d’exploitation, perte de bénéfice ou perte financière résultant de l’impossibilité d’utiliser la Solution.

En tout état de cause et quel que soit le fondement de responsabilité de C-CLERC, les dommages et intérêts et toute réparation due au Client ne pourront excéder les sommes versées par le Client dans le cadre de l’exploitation de la Solution pour l’année au cours de laquelle le dommage ouvrant droit à réparation est intervenu.

Le Client s’engage à limiter l’étendue de son préjudice en cas de manquement de l’autre Partie. Seul le préjudice non évitable sera indemnisé.

ARTICLE 14. RÉSILIATION

En cas de manquement par l’une ou l’autre Partie au présentes CGS et à l’exécution de ses obligations, et à défaut par cette Partie d’y remédier, l’autre Partie pourra résilier son engagement par lettre recommandée avec avis de réception, trente (30) jours après mise en demeure notifiant les manquements constatés, restée infructueuse.

Le Client pourra demander, par lettre recommandée avec accusé de réception, la résiliation de plein droit de son engagement en cas de non-respect par C-CLERC, pendant trois (3) mois consécutifs, du taux de disponibilité indiqué dans le Bon de Commande et ce sans préjudice de tous dommages et intérêts.

La résiliation prendra effet trois (3) mois après la réception de la lettre précitée par C-CLERC, sauf à ce que cette dernière justifie des remèdes appropriés apportés ou devant être apportés pour supprimer le manquement constaté.

ARTICLE 15. COLLABORATION

Les Parties conviennent que l’exécution de la Solution et toutes autres prestations de service informatique nécessitent une collaboration active et régulière et que l’échange permanent des informations permet d’éviter la génération d’incidents préjudiciables aux intérêts des deux Parties. Par conséquent, chacune des Parties s’engage à :

• S’impliquer activement dans l’exécution de ses obligations ;
• S’abstenir de tout comportement susceptible d’affecter et/ou d’entraver l’exécution des obligations de l’autre Partie ;
• Se fournir mutuellement dans un délai suffisant, compatible avec le bon respect des délais convenus entre les Parties, toutes informations et documents nécessaires à la bonne exécution de leurs obligations ;
• S’alerter mutuellement le plus vite possible en cas de difficultés et se concerter pour mettre en place la meilleure solution possible dans les meilleurs délais.

ARTICLE 16. LUTTE CONTRE LA FRAUDE FISCALE

Le Client garantit qu’il utilise la Solution fournie par C-CLERC dans le respect des lois et règlements applicables, notamment en matière fiscale. Plus particulièrement, dans l’hypothèse où C-CLERC serait tenue pour solidairement responsable par l’administration fiscale du paiement des rappels de droits émis en raison de l’utilisation irrégulière par le Client de la Solution mise à sa disposition, le Client s’engage à indemniser intégralement C-CLERC, soit à hauteur des sommes réclamées par l’administration.

ARTICLE 17. FORCE MAJEURE

Aucune des Parties ne pourra être tenue pour responsable d’un manquement quelconque à ses obligations, si elle a été empêchée d’exécuter son obligation par un évènement de force majeure.

Il est expressément convenu entre les Parties que constituent des évènements de force majeure au sens de la présente clause les dysfonctionnements des opérateurs télécom et des télécommunications dès lors que ces dysfonctionnements n’ont pas pour origine les moyens techniques mis en œuvre par C-CLERC.

Dans ce cas, la Partie invoquant la force majeure notifiera à l’autre Partie, par lettre recommandée avec accusé de réception, dans les meilleurs délais, la survenance d’un tel événement et la nécessaire extension des dates limites d’exécution de ses obligations. Si l’empêchement est temporaire, l’exécution de l’obligation s’en trouvera suspendue jusqu’à que la Partie invoquant la force majeure ne soit plus empêchée par l’évènement de force majeure. La Partie invoquant la force majeure devra tenir l’autre Partie informée et s’engage à faire de son mieux pour limiter la durée de la suspension.

ARTICLE 18. CESSION

Le présent engagement souscrit par le Client, ainsi que les droits ou obligations qu’il prévoit, pourra faire l’objet d’une cession de la part du Client, qu’elle soit totale ou partielle, à titre onéreux ou gratuit, sous réserve de l’accord écrit préalable de C-CLERC.

• LERC pourra céder ou transférer les droits et obligations découlant des présentes CGS librement et sans formalités. À compter de la notification écrite de la cession au Client, C-CLERC sera libérée de ses obligations au titre des CGS et ne pourra être tenue pour solidairement responsable de l’exécution de la Solution par le cessionnaire.

ARTICLE 19. CONFIDENTIALITÉ

Pour les besoins des présentes CGS, les termes « Information(s) Confidentielle(s) » recouvrent toutes informations ou tous documents divulgués par chacune des Parties à l’autre Partie, par écrit ou oralement, et incluant sans limitation tous documents écrits ou imprimés, tous secret des affaires, savoir-faire, document d’informations et plus généralement toute information délivrée par une Partie à l’égard de l’autre Partie.

Toutefois, les termes « Information(s)Confidentielle(s)» ne recouvrent pas les informations :

• qui sont, ou seront à l’époque où elles seraient révélées, disponibles et connues du public autrement que du fait d’une divulgation faite en violation des présentes dispositions :
• qui ont été ou seraient communiquées à l’une des Parties par un tiers qui ne serait, ni directement, ni indirectement liée à l’autre Partie ou l’un de ses représentants;
• qui ont été développées par l’une des Partie sur la base d’autres informations que les Informations Confidentielles ; ou
• divulguées ou annoncées au public d’un commun accord entre les Parties.

Pendant toute la durée des présentes CGS et pendant un an à compter de la date de l’expiration ou de sa résiliation, les Parties s’engagent à ne pas divulguer d’une quelque manière que ce soit y compris verbalement les Informations Confidentielles sans l’accord écrit préalable de l’autre Partie, elles s’engagent à :

• protéger et garder strictement confidentielles, et traiter avec le même degré de précaution et de protection qu’elle accorde à ses propres informations confidentielles de même importance les Informations Confidentielles émanant de l’autre Partie ;
• ne divulguer de manière interne qu’à ses seuls salariés et exclusivement lorsque cela est rendu nécessaire pour la bonne exécution des présentes ;
• ne pas copier, ni reproduire, ni dupliquer totalement ou partiellement lorsque de telles copies, reproductions ou duplications n’ont pas été autorisées par l’autre Partie et ce, de manière spécifique, toutes les Informations Confidentielles et leurs reproductions, transmises par chacune des Parties à l’égard de l’autre Partie, devront être restituer à cette dernière sous 48h sur sa demande.

Dans le cas où les obligations légales ou réglementaires de l’une des Parties, notamment à la suite d’une requête émanant d’une autorité judiciaire ou administrative, ou dans le cadre de réglementations qui lui seraient applicables, imposeraient de communiquer à un tiers ou de rendre publiques des Informations Confidentielles, cette Partie y sera autorisée.

Les Parties, sans préjudice aux dispositions du présent article, pourront communiquer sur la seule existence de leurs relations commerciales sans porter d’aucune façon que ce soit atteinte à l’image de l’autre, ni divulguer une quelconque Information Confidentielle.

ARTICLE 20. INVALIDITÉ PARTIELLE

L’annulation éventuelle d’une ou plusieurs clauses des présentes CGS ne saurait porter atteinte à ses autres stipulations qui continueront de produire leur plein et entier effet.

Au cas où l’exécution de l’une ou plusieurs des clauses des présentes CGS serait rendue impossible du fait de son annulation, les Parties tenteront de se rapprocher afin d’établir une nouvelle clause dont l’esprit et la lettre seront aussi proches que possible de l’ancienne clause, les autres stipulations demeurant en vigueur.

ARTICLE 21. DROIT APPLICABLE

De convention expresse entre les Parties, les présentes CGS sont soumises au droit français.

Les CGS sont rédigées en langue française. Dans le cas où elles seraient traduites en une ou plusieurs langues, seul le texte français ferait foi en cas de litige.

ARTICLE 22. LITIGE

En vue de trouver ensemble une solution à tout litige qui surviendrait dans l’exécution des présentes CGS, les Parties conviennent de se réunir dans les trois (3) mois à compter de l’envoi d’une lettre recommandée avec demande d’avis de réception, notifiée par l’une des deux Parties.

La présente procédure de règlement amiable constitue un préalable obligatoire à l’introduction d’une action en justice entre les Parties. Toute action introduite en justice en violation de la présente clause serait déclarée irrecevable.

Toutefois, si au terme d’un délai de trente (30) jours, les Parties n’arrivaient pas à se mettre d’accord sur un compromis ou une solution, le litige serait alors soumis à la compétence juridictionnelle exclusive des tribunaux du ressort du siège social de C- CLERC.

ANNEXEN°1:PRÉ-RÉQUISTECHNIQUES

Le Client reconnait expressément avoir été informé que dans le cadre de l’utilisation optimale de la Solution, le respect par celui- ci de l’ensemble des Pré Requis Techniques ci-après désignés est indispensable :

• Un accès à Internet ;
• La dernière version du navigateur utilisé ;
• (++)

POLITIQUE DE CONFIDENTIALITÉ C-CLERC

La présente politique de confidentialité (ci-après désignée la « Politique de confidentialité ») définit le cadre légal de collecte, utilisation et traitement par la société C-CLERC (ci-après dénommée « C-CLERC »), pour le compte de son client (ci-après désigné le « Client ») de données personnelles dans le cadre de l’utilisation des services Saas proposés via la plateforme « C-CLERC » conçue, développée et exploitée par C-CLERC et disponible à l’adresse https://c-clerc.fr/ (ci-après désigné la «Plateforme »).

Au titre de la Politique de Confidentialité, le responsable du traitement des données personnelles est le Client. En tant que responsable du traitement au sens de l’article 4 alinéa 8 du RGPD, le Client conserve le contrôle total sur les données personnelles et détermine l’objet, la nature, les finalités, les moyens et la durée du traitement des données personnelles par C-CLERC dans le cadre du contrat de sous-traitance conclu entre C-CLERC et le Client.

C-CLERC agit en qualité de sous-traitant et à ce titre, collecte, utilise et traite, pour le compte du Client les données qui lui sont confiées par et sur instruction du Client.

Les personnes concernées par le traitement des données personnelles (ci-après désignées les « Personnes Concernées ») sont les personnes habilitées du personnel du Client faisant usage de la Plateforme (ci-après désignés les « Utilisateurs») ainsi que les clients du Client (ci-après désignés les « Bénéficiaires »).

Le renseignement des données personnelles collectées dans le cadre de la Politique de Confidentialité (ci-après désignée les « DonnéesPersonnelles»), est obligatoire et nécessaire pour le traitement et pour la fourniture des services proposés par C-CLERC via la Plateforme (ci- après désignés les «Services »). Le défaut de renseignements empêche le bon fonctionnement des Services proposés.

C-CLERC s’engage à respecter la règlementation applicable en matière de protection des données personnelles et notamment les obligations découlant du règlement européen n° 2016/679 sur la protection des données personnelles (RGPD).

C-CLERC collecte les Données Personnelles uniquement dans le respect des termes de la présente Politique de Confidentialité et de toute instruction légale et raisonnable donnée par le Client à tout moment.

ARTICLE 1 : INFORMATIONS COLLECTÉES

Le renseignement des Données Personnelles collectées est obligatoire et strictement nécessaire au bon fonctionnement de la Plateforme et des Services. A défaut les Services ne pourront être fournis.

• Pendant toute la durée de l’utilisation de la Plateforme et des Services, C-CLERC est susceptible de recueillir ou de collecter :
  • Au nom du Client, toute information, identifiant directement ou indirectement les Utilisateurs (ci-après désignées les « DonnéesUtilisateurs») ou les Bénéficiaires (ci-après désignées les « Données Bénéficiaires») ;
  • Au nom de C-CLERC, toute information, identifiant directement ou indirectement le Client et plus particulièrement son représentant ou interlocuteur personne physique (ci-après désignées les « DonnéesClient »).

• Les Données Utilisateurs peuvent être collectées de manière directe lorsque l’Utilisateur les communique à C-CLERC au moyen des formulaires de création de compte d’Utilisateur sur la Plateforme. Sont notamment concernées les Données Personnelles relatives à l’identité de l’Utilisateur et notamment : nom, prénom, adresse électronique, numéro de téléphone.

Lors de sa première connexion, l’Utilisateur consent expressément au traitement de ses Données Personnelles dans la limite d’un traitement strictement nécessaire au bon fonctionnement de la Plateforme et des Services. Le renseignement des informations nominatives est obligatoire pour fournir à l’Utilisateur un identifiant et un mot de passe d’accès à la Plateforme.

• LERC (y compris ses prestataires techniques) est également susceptible de collecter automatiquement :
  • Les données relatives à la navigation de l’Utilisateur, notamment l’adresse IP anonymisée, le navigateur utilisé, la durée de navigation, le système d’exploitation utilisé, la langue et les pages visualisées ;
  • Les données relatives à l’usage de la Plateforme par l’Utilisateur, notamment les données de trafic, le nombre de notifications, le nombre de visite, le nombre d’actualisation des données, le nombre de lancement de la Plateforme et toutes les autres données ou ressources de communication qu’utilise l’Utilisateur en accédant à la Plateforme.

• Dans le cadre de la fourniture de ses Services, C-CLERC recueille également les Données Bénéficiaires collectées directement par le Client auprès des bénéficiaires et transmises à C-CLERC, ou le cas échéant collectées par C-CLERC au nom du Client et selon des moyens déterminés par le Client.

• C-CLERC recueille également les Données Clients directement auprès le Client lorsque le Client lui communique dans le cadre de la commande des Services.

ARTICLE 2 : USAGE DES DONNÉES PERSONNELLES COLLECTÉES

• C-CLERC utilise, stocke et traite les Données Personnelles pour les finalités suivantes déterminées par le Client :

DonnéesPersonnelles	Finalité	Base légale du traitement
Données Utilisateurs	Création Utilisateur	et	gestion	d’un	compte	Le traitement est nécessaire à l’exécution du contrat conclu entre l’Utilisateur et le Client
Données Utilisateurs	Accès et utilisation de la Plateforme par l’Utilisateur	Le traitement est nécessaire à l’exécution du contrat conclu entre l’Utilisateur et le Client

Données Bénéficiaires	Envoi des   emails   par   l’Utilisateur, filtres, gestion des dossiers	Le traitement est nécessaire à l’exécution du contrat conclu entre C-CLERC et le Client
Données Utilisateurs	Réponse aux éventuelles questions/réclamations des Utilisateurs – Assistance des Utilisateurs	Le traitement est nécessaire à l’exécution du contrat conclu entre l’Utilisateur et le Client
Données Utilisateurs et Données Bénéficiaires	Gestion des demandes de droits d’accès, de portabilité, d’effacement, de rectification et d’opposition	Données Utilisateurs : Le traitement est nécessaire à l’exécution du contrat conclu entre l’Utilisateur et le Client
		Données Bénéficiaires : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par la C-CLERC.
Données Utilisateurs	Gestion des litiges	Le traitement est nécessaire à l’exécution du contrat conclu entre l’Utilisateur et le Client

• C-CLERC utilise, stocke et traite les Données Personnelles pour les finalités suivantes déterminées par C-Clerc :

DonnéesPersonnelles	Finalité	Base légale du traitement
Données Utilisateurs, Données Bénéficiaires, Données Clients	Développement, amélioration   de   la Plateforme, création d’un environnement de confiance	Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par la C-CLERC.
Données Clients	Prospection commerciale du Client (C- Clerc peut proposer aux Études Clientes des services annexes)	Le traitement est réalisé sur la base du consentement du Client
Données Clients	Statistiques commerciales	Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par la C-CLERC.
Données Clients	Newsletter	Le traitement est réalisé sur la base du consentement du Client

C-CLERC s’accorde enfin le droit de revoir, parcourir ou analyser ces Données Personnelles via la Plateforme pour se conformer aux obligations légales lui incombant et notamment à des fins de prévention des fraudes, d’évaluation des risques, de respect des règlements, d’enquête, de développement de produits, de recherche et d’assistance Utilisateurs.

ARTICLE 3 : CONSERVATION DES DONNEES PERSONNELLES

Les Données Personnelles sont conservées uniquement le temps nécessaire à la réalisation de la finalité pour laquelle C-CLERC détient ces données, afin de répondre aux besoins du Client ou pour remplir ses obligations légales.

A l’issue des durées applicables et dans tous les cas à compter (i) de la suppression du compte de l’Utilisateur ou au plus tard six (6) mois après la fin de l’utilisation des Services par l’Utilisateur, (ii) de la fin de la relation commerciale entre le Client et C-CLERC, les données personnelles seront détruites ou C-CLERC procédera à leur anonymisation.

Toutefois, C-CLERC est susceptible de conserver certaines données personnelles recueillies sur des espaces de stockage distincts afin de se conformer à ses obligations légales ou réglementaires. Les données ainsi conservées seront limitées à ce que strictement nécessaire.

ARTICLE 4 : PARTAGE ET DIVULGATION DES DONNÉES PERSONNELLES

• C-CLERC peut divulguer les Données Personnelles aux autorités administratives et judiciaires, ou à des tiers autorisés, si la loi l’exige ou le permet, ou si une telle divulgation est raisonnablement jugée nécessaire : (i) pour respecter les obligations légales de C-CLERC, (ii) afin de se conformer au processus judiciaire et de donner suite aux réclamations présentées contre C-CLERC ou le Client, (iii) pour répondre à des demandes vérifiées dans le cadre d’une enquête judiciaire ou d’une activité illégale prétendue ou soupçonnée ou de toute autre activité qui peut exposer C-CLERC ou le Client à une responsabilité légale.

• Sous réserve de l’autorisation du Client, C-Clerc a la faculté de sous-traiter tout ou partie de l’exécution des Services dans le respect des dispositions légales en vigueur.

Dans ce cadre, C-CLERC ne transfèrera pas les Données Personnelles à des tiers établis en dehors de l’Union européenne n’offrant pas un niveau de protection adéquat au regard des exigences légales en matière de protection des Données Personnelles.

Les données personnelles sont traitées par C-CLERC et par les prestataires qui soutiennent l’activité de C-CLERC tel que l’hébergeur des Données Personnelles, agissant en tant que sous-traitant.

C-CLERC utilise les services du Client OVH en tant qu’hébergeur des données des Personnes Concernées. Les serveurs sont situés en France.

Le sous-traitant ultérieur de C-CLERC sera autorisé́ à traiter pour le compte de C-CLERC les Données Personnelles nécessaires pour fournir les Services.

• LERC déclare :
  • Avoir remis par écrit toute instruction concernant le traitement des Données Personnelles par le sous- traitant ultérieur ;
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des Données Personnelles de la part du sous-traitant ultérieur ;
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous- traitant ultérieur.

• LERC s’engage à ce que le sous-traitant ultérieur :
  • Traite les Données Personnelles uniquement pour la ou les seule(s) finalité́(s) qui fait/font l’objet de la sous-traitance ;
  • Traite les Données Personnelles conformément aux instructions de C-CLERC et du Client ;
  • Garantisse la confidentialité́ des Données Personnelles à caractère personnel traitées ;
  • Ait fait l’objet de formation nécessaire en matière de protection des Données Personnelles à caractère personnel ;
  • Prenne en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données Personnelles dès la conception et de protection des Données Personnelles par défaut ;
  • Informe immédiatement C-CLERC s’il considère qu’une instruction constitue une violation du règlement européen sur la protection des Données Personnelles ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des Données Personnelles.

Les Données Personnelles peuvent être transmises auprès des prestataires techniques, dans la seule finalité de la bonne exécution des Services, ou à ses différents fournisseurs tels que les fournisseurs de solution de paiement.

Les Données Personnelles peuvent également être transmises aux partenaires commerciaux qui permettent à C-CLERC d’exécuter convenablement les commandes, leur gestion, livraison, traitement et paiement dans les conditions contractuelles signées entre le partenaire et C-CLERC ne pouvant déroger aux conditions de la présente Politique de confidentialité.

Uniquement avec l’accord exprès des Personnes Concernées, C-CLERC pourra être amenée à réutiliser les Données Personnelles ou les transmettre à des sociétés partenaires aux fins notamment d’envoi par courrier électronique d’informations commerciales.

ARTICLE 5 : PROTECTION DES DONNÉES PERSONNELLES – DROITS DES UTILISATEURS

• C-CLERC veille à sécuriser les Données Personnelles de manière adéquate et appropriée et a pris les précautions utiles afin de préserver la sécurité et la confidentialité des données et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.

Lorsque C-CLERC constate une violation de droits dans le cadre du traitement des données personnelles, cette violation sera notifiée à la CNIL dans un délai ne pouvant être supérieur à soixante-douze (72) heures après en avoir pris connaissance.

Toute violation relative au traitement des données personnelles de la personne concernée sera notifiée par e-mail, dans un délai d’un (1) mois, par C-CLERC au Client et l’Utilisateur concerné, et par le Client au Bénéficiaire concerné.

• Dans tous les cas, les personnes concernées d’un droit d’accès, de rectification, de modification, d’opposition, de portabilité et de suppression des Données Personnelles le concernant en écrivant à l’adresse suivante :

support@c-clerc.fr en indiquant son nom, prénom et/ou dénomination sociale, l’adresse du domicile ou du siège social et l’e-mail. Conformément à l’article 48 du règlement européen n° 2016/679 sur la protection des données, C-CLERC n’a pas nommé de délégué à la protection des Données Personnelles (DPO).

Conformément à la réglementation en vigueur, toute demande doit être signée et accompagnée de la photocopie d’un titre d’identité portant la signature de l’Utilisateur.

La personne concernée pourra récupérer ses Données Personnelles dans un format ouvert et lisible. Le droit à la portabilité est limité aux données fournies par la personne concernée. Il s’applique sur la base du consentement préalable de la personne concernée. AMX s’engage à transférer, sur demande, dans un délai d’un (1) mois, tout document de recueil des Données Personnelles à la personne concernée afin de pouvoir mettre en œuvre le droit à portabilité. Les frais liés à la récupération des données sont à la charge de l’Utilisateur en faisant la demande.

Les droits des Utilisateurs et des Bénéficiaires relatifs aux Données Personnelles les concernant devront être exercés auprès du Client, qui en fera la demande auprès de AMX à l’adresse mentionnée ci-dessus.

ARTICLE 6 : UTILISATION DES COOKIES

Conformément aux délibérations de la CNIL n° 2020-091 et n° 2020-092 du 17 septembre 2020, C-CLERC informe, par ailleurs, que des cookies enregistrent certaines informations qui sont stockées dans la mémoire du disque dur de l’Utilisateur. Ces informations servent à générer des statistiques d’audience.

Un message d’alerte, sous forme de bandeau, demande à l’Utilisateur, au préalable, s’il souhaite accepter les cookies.

Les Utilisateurs se rendant sur la page d’accueil ou une autre page de la Plateforme directement à partir d’un moteur de recherche seront informés :

• Des finalités précises des cookies utilisés ;
• De la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

• et du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Pour garantir le consentement libre, éclairée et non équivoque des Utilisateurs sur la Plateforme, le bandeau ne disparaitra pas tant qu’il n’aura pas poursuivi sa navigation.

Sauf consentement préalable, le dépôt et la lecture de cookies ne seront pas effectués.

CHARTE INFORMATIQUE C-CLERC

D’une manière générale, l’utilisateur doit s’imposer le respect des lois et, notamment, celles relatives aux publications à caractère injurieux, raciste, pornographique, diffamatoire, sur le harcèlement sexuel/moral.

Les systèmes d’information, les ordinateurs et les données stockées font partie des actifs vitaux de l’entreprise. Ces actifs et leur bonne utilisation sont d’une importance primordiale pour la recherche d’informations, le transfert de connaissances, et l’amélioration des communications.

La société C-CLERC (ci-après dénommée la « Société »), accepte et encourage l’utilisation de l’e-mail et des services d’Internet pour supporter et conduire ses affaires. Toutefois, la Société doit se protéger des abus potentiels de ces systèmes et des risques afférents. Ce document décrit les pratiques à respecter dans l’utilisation du courrier électronique et Internet.

Tout employé, prestataire de la Société et sa hiérarchie sont responsables de la protection de la Société et de ses actifs, contre les pertes et les dégradations, y compris, celles qui seraient dues à l’e-mail ou à l’Internet. A ce titre, vous devez respecter les normes et pratiques qui suivent. Le non-respect de celles-ci pourrait être considéré comme abusif.

• Sécuriserl’accèsaucompte

Le contrôle d’accès logique permet d’identifier toute personne utilisant un ordinateur.

Cette identification permet, à chaque connexion, l’attribution de droits et privilèges propres à chaque utilisateur sur les ressources du système dont il a besoin pour son activité.

Une identification (login + mot de passe) unique est confiée à chaque utilisateur. Ce dernier est personnellement responsable de l’utilisation qui peut en être faite, et ne doit en aucun cas la communiquer.

Chaque mot de passe doit obligatoirement être modifié selon la fréquence suivante : Un mot de passe doit, pour être efficace, comporter 8 caractères alphanumériques. Il ne doit pas être, notamment, identique au login, même en inversant les caractères, comporter le nom et/ou prénom de l’utilisateur ou de membres de sa famille, le numéro de téléphone, la marque de la voiture ou toute référence à quelque chose appartenant à l’utilisateur, être un mot ou une liste de mots du dictionnaire ou un nom propre, nom de lieu, être écrit sur un document et être communiqué à un tiers.

• Courrier électronique

Les éléments de fonctionnement de la messagerie à considérer sont les suivants.

Un message envoyé par Internet peut potentiellement être intercepté, même illégalement, et lu par n’importe qui. En conséquence, aucune information stratégique ne doit circuler de cette manière, sauf à la crypter.

Il est permis d’utiliser des services d’un site web spécialisé dans la messagerie.

Lors du départ d’un collaborateur, il doit être indiqué au responsable de l’administration du système ce qu’il sera fait des fichiers et courriers électroniques de l’utilisateur.

Les messages électroniques sont conservés sur le serveur de messagerie pendant une période de 300 jours et il existe des copies de sauvegarde pendant une période de 150 jours.

Ces copies de sauvegarde conservent tous les messages au moment où ils passent sur le serveur de messagerie, même s’ils ont été supprimés ensuite par leur destinataire.

Ne pas les utiliser pour le courrier électronique mis à disposition pour :

• Envoyer du courrier en chaîne, participer à des jeux en ligne, télécharger des jeux, des économiseurs d’écran, de la musique, des logiciels et (sauf nécessité professionnelle) vous

inscrire à des listes de diffusion, ou des groupes de discussion, ou envoyer des messages à des groupes d’échange

• Envoyer des informations sensibles commercialement sans cryptage adéquat, car Internet n’est pas un moyen de transport sûr.
• Répondre à des réclamations ou des demandes de renseignements arrivant par e-mail, à moins que ce ne soit de votre responsabilité de le faire.

• Utilisation privée de la messagerie

L’utilisation du courrier électronique à des fins personnelles est autorisée dans des proportions raisonnables et à la condition de ne pas affecter le trafic normal des messages professionnels.

• Contrôle de l’usage

Dans l’hypothèse la plus courante, le contrôle éventuellement mis en œuvre porte sur :

• le nombre des messages échangés ;
• la taille des messages échangés ;
• le format des pièces jointes.

• Utilisation d’Internet

Chaque utilisateur doit prendre conscience qu’il est dangereux pour l’entreprise :

• de communiquer à des tiers des informations techniques concernant son matériel ;
• de connecter un micro à Internet via un modem ;
• de diffuser des informations sur l’entreprise via des sites Internet ;
• de participer à des forums ;
• de participer à des conversations en ligne (« chat »).

• Utilisation d’Internet à des fins privées

L’utilisation d’Internet à des fins privées est tolérée dans des limites raisonnables et à condition que la navigation n’entrave pas l’accès professionnel.

• Contrôles de l’usage

Dans l’hypothèse la plus courante, les contrôles portent sur :

• les durées des connexions ;
• les sites les plus visités ;

La politique et les modalités des contrôles font l’objet de discussions avec les représentants du personnel.

• Pare-feu

Le pare-feu vérifie tout le trafic sortant de l’entreprise, aussi bien local que distant. Il vérifie également le trafic entrant constitué de la messagerie électronique et/ou l’échange de fichiers, et/ou la navigation sur Internet.

Il détient toutes les traces de l’activité qui transite par lui s’agissant :

• de la navigation sur Internet : sites visités, heures des visites, éléments téléchargés et leur nature (textes, images, vidéos ou logiciels) ;
• des messages envoyés et reçus : expéditeur, destinataire(s), objet, nature de la pièce jointe (etéventuellementtextedumessage).

Il filtre les URL des sites non autorisés par le principe de la liste noire. Les catégories des sites visés sont les sites diffusant des données de nature pornographique, pédophile, raciste ou incitant à la haine raciale, révisionniste ou contenant des données jugées comme offensantes (complétezsinécessaire).

• Sauvegardes

La mise en œuvre du système de sécurité comporte des dispositifs de sauvegarde des informations et un dispositif miroir destiné à doubler le système en cas de défaillance.

Ceci implique, entre autres, que la suppression par un utilisateur d’un fichier de son disque dur n’est pas absolue et qu’il en reste une copie :

• sur le dispositif de sauvegarde ou miroir ;
• sur le serveur ;
• sur le proxy ;
• sur le firewall (pare-feu) ;
• chez le fournisseur d’accès.

• Interdiction dans le cadre l’usage de l’Internet

Tout élément obscène, pornographique ou d’autre nature qui peuvent être choquants pour une autre personne – à caractère sexuel, raciste, sexiste, politique ou religieux qui comporterait des commentaires déplacés sur des orientations sexuelles, des handicaps ou des particularités personnelles est inacceptable.

Envoyer, Accéder, Visualiser, demander ou télécharger ce genre de documents est une infraction sérieuse à la politique de la Société en matière d’Internet et d’E-mail et peut constituer un délit. Un rappel à l’ordre, voire des sanctions disciplinaires, pourront en résulter telles qu’elles sont définies dans le règlement intérieur (en cas de règlement interieur), en relation avec la faute commise et dans le respect des droits de la défense.

La récupération de fichiers auprès de sources inadéquates n’est pas autorisée, car elle présente le risque d’introduire des virus ou des logiciels piratés ou sans licence (jeux, économiseurs d’écran, exécutables). Les fichiers Vidéo ou audio ne sont pas autorisés sauf autorisation explicite de la hiérarchie.

• Surveillance

La Société se réserve le droit de contrôler le bon usage des règles d’utilisation des outils informatiques appartenant à l’entreprise dans le respect de la liberté individuelle de ses collaborateurs.

Le système de contrôle mis en place est justifié et proportionné au but recherché.

La taille maximale recommandée des fichiers transmis par messagerie électronique est de 20 Mo.

Il vous est possible de contrôler vous-même la taille de votre boîte mail. Il vous suffit d’appliquer la procédure prévue à cet effet ou de contacter le service informatique.

Si vous recevez du courrier non sollicité ou déplacé, contactez le service informatique pour vous en débarrasser.

• Infractions

L’utilisation inappropriée, excessive, ou non autorisée de l’e-mail ou des services Internet est en infraction avec la politique de la Société et à ses normes et pratiques.

Comme pour toute utilisation injustifiée, détournée ou non autorisée d’un outil mis à la disposition, tout abus commis en connaissance de cause est de nature à justifier unesanctiondans le respect des droits de la défense de l’intéressé.

DATA PROCESSING AGREEMENTC-CLERC

Les présentes clauses ont pour objet de définir les conditions dans lesquelles la société C-CLERC en qualité de sous-traitant (ci-après dénommé le « Prestataire »), s’engage à effectuer pour le compte du responsable de traitement, (ci-après dénommée le «Client»), les opérations de traitement de données à caractère personnel définies ci-après.

• DÉFINITIONS

Analyse d’Impact relative àla Protection des Données(AIPD)

Données du Client ou Données

Données Personnelles duClient

désigne toute analyse d’impact menée conformément à la Règlementation Applicable en matière de Données Personnelles.

désigne toutes les données, y compris les Données Personnelles et les Informations Confidentielles, (i) transmises ou mises à disposition du Prestataire par le Client ou au nom du Client, (ii) collectées par le Prestataire par le biais des Services Hébergés, ainsi que (iii) toutes les données générées, Traitées ou modifiées par le Prestataire dans le cadre des Services.

désigne toutes Données Personnelles contenues dans les Données du Client.

DonnéesPersonnelles désigne toute information se rapportant à une Personne Concernée

telle que définie par la Règlementation Applicable en matière de Données Personnelles.

IncidentdeSécurité désigne tout événement impactant ou susceptible d’impacter la

sécurité des Données en termes de disponibilité, d’intégrité, de confidentialité et de traçabilité.

PersonneConcernée désigne toute personne physique identifiée ou identifiable telle que

définie par la Règlementation Applicable en matière de Données Personnelles.

ProgrammeMalveillant désigne tout code informatique nocif tel que les virus, bombes

logiques, vers, chevaux de Troie ou tout autre code ou instruction infectant ou affectant tout programme, logiciel, donnée, fichier, base de données, ordinateur ou autre matériel ou élément, et endommageant, portant atteinte, compromettant l’intégrité ou la confidentialité, incapacitant en tout ou partie, détournant ou permettant de détourner en tout ou partie un système d’information de l’usage auquel il est destiné.

Règlementation Applicable en matière de Données Personnelles

désigne toute loi ou réglementation applicable au Traitement des Données Personnelles objet du présent Contrat, et notamment (i) le Règlement Général sur la Protection des Données (UE) n° 2016/679 et/ou tous décrets d’application ou lois nationales équivalentes, (ii) les lois, règlements ou réglementations e-Privacy relatifs au respect de la vie privée et à la protection des données à caractère personnel dans les communications électroniques ainsi que les lois, règlements ou réglementations anti-spams, y compris la Directive 2002/58/CE ou le Règlement n° 2017/0003 concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, dès qu’il sera applicable, et/ou tous décrets d’application ou lois nationales équivalentes, ainsi que

(iii) toutes lignes directrices émises par toute autorité de contrôle compétente.

Responsable du Traitement des Données ou Responsable du Traitement

Sous-Traitant de DonnéesPersonnelles

désigne tout responsable du traitement au sens de la Règlementation Applicable en matière de Données Personnelles.

désigne tout Sous-Traitant du Prestataire qui Traite des Données Personnelles du Client pour le compte du Prestataire.

Standardsdel’Industrie désigne, quelles que soient l’entreprise et les circonstances,

l’exercice et le respect du niveau de professionnalisme, de compétence et d’expertise, de diligence, de prudence et de discernement que l’on peut attendre d’une personne qualifiée et expérimentée ou d’une société reconnue à l’international intervenant dans le même secteur d’activité et dans des conditions identiques ou similaires. Les Standards de l’Industrie comprennent, par exemple, le respect des règles et normes internationales.

Traitement,Traiter ont le sens qui leur est attribué dans la Règlementation Applicable

en matière de Données Personnelles.

ViolationdesDonnées désigne tout évènement entraînant, de manière accidentelle ou

illicite, la destruction, la perte, la modification, la divulgation non autorisée des Données Personnelles du Client ou l’accès non autorisé à de telles Données, par tout tiers (en ce compris une autre Affiliée). Une Violation des Données est un Incident de Sécurité.

• SÉCURITÉ
  • Obligationgénéraledesécurité

Le Prestataire reconnaît que la sécurité est un critère fondamental pour le Client, et que le respect, par le Prestataire, des exigences de sécurité définies aux présentes constitue une obligation essentielle et déterminante du consentement du Client au présent Contrat.

Le Prestataire doit tenir compte de la sensibilité des Données et des risques potentiels auxquels celles- ci sont exposées pour définir les mesures de sécurité adéquates permettant de traiter ces risques et rendre les risques résiduels acceptables. Lorsque les Services impliquent un Traitement de Données Personnelles, ces mesures tiennent compte des risques potentiels générés par le Traitement pour les Personnes Concernées.

Ces mesures de sécurité doivent, dans tous les cas, tenir compte de l’état de la technique et être conformes aux Standards de l’Industrie en matière de sécurité.

Ces mesures ne doivent en aucun cas être moins rigoureuses que celles mises en place par le Prestataire pour ses propres données, y compris ses Données Personnelles et Informations Confidentielles, et doivent dans tous les cas tenir compte des indications fournies par les autorités chargées de la protection des données personnelles.

Le Prestataire s’engage expressément à mettre en place, toutes mesures nécessaires visant à :

• garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des Données et tenir à jour une documentation décrivant les mesures de sécurité techniques et organisationnelles mises en œuvre à cet effet ;
• permettre la détection, la résolution et la notification dans les délais requis par la Règlementation Applicable en matière de Données Personnelles des Incidents de Sécurité et des Violations des Données ;

• rétablir rapidement la disponibilité et l’accessibilité des Données en cas d’Incident de Sécurité physique ou technique ;
• ne rendre les Données accessibles et lisibles que par le personnel et les contractants du Prestataire dûment habilités et autorisés à cet effet, en se limitant au minimum strictement nécessaire à l’accomplissement de leurs tâches ;
• à s’assurer que toute personne qu’il autorise à accéder aux Données est tenue par une obligation de confidentialité et de sécurité aussi contraignante que celle figurant aux présentes et résultant d’un engagement écrit.

Toute modification importante de ces mesures doit être documentée et notifiée au Client. Ces modifications ne doivent en aucune façon réduire le niveau de sécurité des Services pendant la durée du Contrat.

Sans préjudice de la faculté du Client d’effectuer lui-même ou faire effectuer en son nom et pour son compte, un audit, le Prestataire doit contrôler régulièrement, et au moins une fois par an, le caractère conforme et suffisant des mesures de sécurité techniques et organisationnelles mises en place et être en mesure de démontrer leur application et leur efficacité réelles, en soumettant ses systèmes d’information à des tests et audits réguliers effectués par des auditeurs indépendants.

• Programmes Malveillants

Le Prestataire prendra toutes les précautions nécessaires pour empêcher l’introduction, par lui-même ou ses Sous-Traitants, de Programmes Malveillants dans le système informatique du Client, ainsi que toutes les mesures appropriées s’il constate l’existence de tels Programmes Malveillants.

En cas d’introduction, par le Prestataire ou ses Sous-Traitants, de Programmes Malveillants, le Prestataire et le Client conviennent de collaborer afin d’en déterminer la source et d’en éliminer les conséquences.

S’il s’avère que l’introduction d’un Programme Malveillant est imputable exclusivement au Client, ce dernier assumera les frais de diagnostic et de remise en état.

S’il s’avère que l’introduction d’un Programme Malveillant est imputable exclusivement au Prestataire, ce dernier assumera les frais de diagnostic et de remise en état du système informatique et de la restauration des Données si celles-ci ont été endommagées.

• Gestion et notification des Incidents de Sécurité et des Violations des Données

Le Prestataire doit mettre en place et maintenir, et obtenir de chacun des Sous-Traitants participant à la fourniture des Services qu’il mette en place et maintienne, des politiques et des procédures de gestion des Incidents de Sécurité.

Le Prestataire doit communiquer au Client le nom et les coordonnées de l’un de ses employés qui interviendra comme principal interlocuteur en matière de sécurité et qui est disponible pour apporter toute assistance au Client 24h/24 et 7J/7 et prendre en charge tout Incident de Sécurité. Toute demande spécifique du Client relative à la sécurité doit être traitée avec diligence et de manière prioritaire par le Prestataire.

Sans limitation des autres droits et recours du Client, en cas d’Incident de Sécurité avéré ou raisonnablement présumé, le Prestataire en avisera le Client dans les meilleurs délais après en avoir eu connaissance, par email à l’adresse suivante [XXX].

Immédiatement après ladite notification, le Prestataire enquêtera, à ses propres frais, sur l’Incident de Sécurité et tiendra le Client régulièrement informé de l’état d’avancement de la situation.

Le Prestataire prendra des mesures appropriées, à ses propres frais, pour (i) remédier à l’Incident de Sécurité, (ii) limiter ses effets, et (iii) apporter toute modification appropriée permettant d’éviter que cet Incident de Sécurité se reproduise.

Par ailleurs, le Prestataire aidera, à ses propres frais, le Client à restaurer les Données du Client.

Le Prestataire apportera également toute l’aide raisonnable nécessaire au Client en cas de communication/notification que ce dernier pourrait être contraint ou pourrait choisir de faire. Le Prestataire s’engage à ne pas informer les tiers, y compris les autorités de contrôle et/ou les Personnes Concernées, de toute Violation des Données sans avoir obtenu le consentement préalable et écrit du Client. Par ailleurs, le Prestataire reconnait que le Client est seul habilité à déterminer : (i) si la Violation des Données doit ou non être notifiée aux Personnes Concernées, aux autorités compétentes ou à toute autre personne en vertu de la Règlementation Applicable en matière de Données Personnelles ; et (ii) le contenu de ladite notification.

Le Prestataire doit coopérer et fournir au Client l’assistance nécessaire s’agissant de toute plainte formulée par une Personne Concernée ou de toute enquête ou requête émanant d’une autorité de contrôle en vertu de la Règlementation Applicable en matière de Données Personnelles ou de toute autre réglementation applicable.

Le Prestataire remboursera au Client les coûts réellement encourus par celui-ci du fait de l’Incident de Sécurité, y compris, notamment, le coût des enquêtes, des notifications et/ou des mesures correctives.

Il est précisé qu’en cas d’Incident de Sécurité, les dommages suivants sont considérés comme directs :

(i) les frais juridiques liés à l’enquête et à la remédiation de l’Incident de Sécurité ; (ii) les coûts liés à la notification de la Violation de Données aux Personnes Concernées lorsqu’une telle notification est requise par la réglementation applicable ; et (iii) les amendes, pénalités, dommages et intérêts, montants payés au titre d’une transaction, remboursements, compensation, et autres coûts liés au respect d’obligations résultant d’un jugement, d’une transaction ou d’une exigence légale.

Le Prestataire tient, et met à la disposition du Client, un registre des Incidents de Sécurité, y compris des Violations des Données, et documente toute information pertinente concernant les circonstances de l’Incident de Sécurité, les dommages et les mesures correctives prises afin d’atténuer ses effets, ainsi que les actions et mesures prises afin d’éviter qu’il ne se reproduise.

• DONNÉES PERSONNELLES
  • Obligations des Parties au regard de la Règlementation Applicable en matière de DonnéesPersonnelles

L’exécution du Contrat entraine le Traitement de Données Personnelles par les Parties aux fins de la gestion de leur relation commerciale et de la fourniture des Services.

Ces Traitements sont soumis à la Règlementation Applicable en matière de Données Personnelles. Les Parties déclarent connaître leurs droits et obligations en vertu de la Règlementation Applicable en matière de Données Personnelles et liés à ces Traitements.

Les Parties s’engagent à Traiter les Données Personnelles dans le respect de la Règlementation Applicable en matière de Données Personnelles.

Les Parties s’engagent à Traiter les Données Personnelles de manière loyale et licite en toutes circonstances.

Elles déclarent avoir respecté, et s’engagent à respecter pendant toute la durée du Contrat, toutes leurs obligations découlant de la Règlementation Applicable en matière de Données Personnelles, et notamment l’obligation de procéder à toute déclaration auprès des autorités en charge de la protection des données et à toute information des Personnes Concernées et/ou l’obligation d’obtenir auprès desdites autorités toute autorisation nécessaire et/ou tout consentement auprès des Personnes Concernées, dans le cadre de la collecte et du Traitement de Données Personnelles aux fins des Services fournis au titre du Contrat.

Il est précisé que (i) le Client et le Prestataire interviennent en tant que Responsables du Traitement indépendants dans le cadre du Traitement de Données Personnelles aux fins de la gestion de leur relation commerciale, et (ii) le Prestataire est considéré comme sous-traitant au sens de la Règlementation Applicable en matière de Données Personnelles dans le cadre du Traitement des Données Personnelles

du Client aux fins des Services et le Client comme Responsable du Traitement concernant ses propres Données Personnelles. Lorsque le Prestataire agit en qualité de sous-traitant au sens de la Règlementation Applicable en matière de Données Personnelles, les articles 3.2 à 3.9 s’appliquent.

• Traitement de Données Personnelles réalisé par le Prestataire

Lorsque le Prestataire agit en qualité de sous-traitant au sens de la Règlementation Applicable en matière de Données Personnelles, il doit prendre les engagements suivants :

• ne procéder au Traitement des Données Personnelles du Client que sur instructions écrites du Client et conformément aux termes du Contrat et à la description des opérations de Traitement mentionnées dans l’Annexe aux présentes ;

• ne faire aucune copie des documents comportant des Données Personnelles du Client sauf si cela est strictement nécessaire (i) à la fourniture des Services et seulement après avoir recueilli l’accord préalable écrit du Client et/ou (ii) pour remplir une obligation légale ;

• ne pas utiliser à des fins personnelles, y compris à des fins commerciales ou statistiques et/ou à des fins d’analyse, de recherche et d’étude, les Données Personnelles du Client ou les données issues du Traitement desdites Données Personnelles du Client, y compris lorsque ledit Traitement entraîne une anonymisation desdites données ;

• ne conserver les Données Personnelles du Client que pour la durée nécessaire à la fourniture des Services, et dans tous les cas pour une durée ne pouvant excéder la durée mentionnée dans l’Annexe aux présentes (sauf obligation légale imposant de conserver les Données Personnelles du Client ; dans ce cas, les Données Personnelles du Client seront conservées uniquement pour la durée requise par la loi et la réglementation applicable et en base archives uniquement);

• transmettre, au plus tard dans un délai de cinq (5) Jours Ouvrés à compter de la demande du Client, toutes les informations permettant au Client de répondre à toute demande formulée par une Personne Concernée concernant ses Données Personnelles Traitées par le Prestataire pour le compte du Client ;

• aviser le Client, sans délai et au plus tard dans les deux (2) jours ouvrés, de toute demande qui pourrait lui être directement soumise par une Personne Concernée et aider le Client à répondre à la demande en transmettant les informations nécessaires indiquées ci-dessus ;

• informer le Client, sans délai et au plus tard dans les deux (2) jours ouvrés, de toute demande faite par un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires et visant à accéder aux Données Personnelles du Client Traitées par le Prestataire, et dans tous les cas, procéder aux vérifications nécessaires quant au bien-fondé de la demande de communication avant d’autoriser tout accès aux Données Personnelles du Client ;

• aider le Client à réaliser des AIPD et à conserver les documents nécessaires permettant au Client de rendre compte de son respect de la Règlementation Applicable en matière de Données Personnelles.
• Registre des activités de Traitement

Le Prestataire doit tenir un registre des activités de Traitement menées pour le compte du Client, y compris celles confiées à ses propres Sous-Traitants de Données Personnelles avec l’autorisation du Client, en indiquant pour lui-même et pour chacun de ses Sous-Traitants de Données Personnelles les activités de Traitement réalisées pour le compte du Client, le lieu où les Services sont réalisés et les transferts de Données Personnelles du Client en dehors de l’Espace économique européen (EEE) et/ou en dehors du pays dans lequel le Client est établi ou dans lequel les Données Personnelles du Client sont

collectées. Le registre tenu par le Prestataire doit également comprendre des renseignements, si nécessaire, sur la mise en place des mesures de protection appropriées permettant d’assurer un niveau de protection adéquat et toutes autres informations requises par la Règlementation Applicable en matière de Données Personnelles.

Ce registre est à tout moment accessible au Client et à l’autorité compétente en matière de protection des données personnelles.

• Sécurité et confidentialité des Traitements

Les exigences générales de sécurité sont décrites à l’article 2 « Sécurité » ci-dessus.

Pour ce qui concerne la sécurité des Données Personnelles, le Prestataire doit mettre en œuvre les mesures complémentaires résultant de la Règlementation Applicable en matière de Données personnelles et/ou d’une AIPD.

En    particulier,    le    Prestataire    doit    mettre    en    œuvre,    les    mesures    de    sécurité suivantes :

• la protection adéquate des Données Personnelles du Client afin d’assurer la confidentialité et de prévenir toute Violation des Données et/ou de minimiser les impacts en cas de Violation des Données ;

• les mesures permettant de s’assurer que toute personne agissant sous l’autorité du Prestataire qui accède à des Données Personnelles du Client ne pourra les traiter que conformément au présent Contrat ;

• l’effacement des Données Personnelles du Client à l’issue de la durée de conservation définie par le Client ;

• la traçabilité des opérations (logs de connexions) concernant les Données Personnelles du Client Traitées au cours des six (6) derniers mois ;

• la mise en place d’outils et de procédures spécifiques permettant la détection des Violations des Données.
• Respect de la vie privée dès la conception (Privacy par Design), respect de la vie privée pardéfaut(PrivacyparDefault)etportabilitédesDonnées

Le Prestataire doit prendre des mesures techniques et organisationnelles appropriées :

• destinées à mettre efficacement en œuvre les principes de minimisation et de conservation limitée des données ;
• permettant de s’assurer que, par défaut, seules les Données Personnelles du Client nécessaires pour chaque finalité spécifique du Traitement sont traitées, y compris la mise en œuvre de solutions d’archivage et d’anonymisation.

Le Prestataire doit mettre en place des mesures techniques et organisationnelles permettant au Client de respecter pleinement les droits des Personnes Concernées, notamment le droit d’accéder à leurs Données Personnelles, le droit d’obtenir la rectification ou l’effacement de leurs Données Personnelles ou d’obtenir la limitation du Traitement de leurs Données Personnelles, le droit de s’opposer à des décisions fondées sur le profilage, ainsi que le droit à la portabilité des Données Personnelles, s’il y a lieu.

• Sous-Traitants de Données Personnelles

Le Prestataire fait exclusivement appel à des Sous-Traitants de Données Personnelles offrant suffisamment de garanties dans la mise en œuvre de mesures techniques et organisationnelles appropriées pour s’assurer que le Traitement répond aux exigences du présent Contrat. La liste des Sous-

Traitants de Données Personnelles existants à la date de signature du Contrat figure dans l’Annexe aux présentes.

Le Prestataire doit informer le Client de toute modification envisagée concernant l’ajout ou le remplacement de Sous-Traitants de Données Personnelles, afin de donner au Client la possibilité de s’opposer à ladite modification.

Tout Traitement assuré par un Sous-Traitant de Données Personnelles est régi par un contrat entre le Prestataire et le Sous-Traitant de Données Personnelles prévoyant les mêmes droits et obligations que ceux énoncés dans le présent Contrat, dans la mesure applicable, notamment en matière de sécurité du Traitement, de protection des Données Personnelles et de droit d’audit.

Le Prestataire s’engage à vérifier régulièrement, notamment par des audits, le respect desdites obligations par ses propres Sous-Traitants de Données Personnelles. Le Prestataire tiendra à jour une liste des Sous-Traitants de Données Personnelles comportant (i) le nom et les coordonnées desdits Sous- Traitants de Données Personnelles ainsi que (ii) la nature des opérations et tâches qui leur sont confiées,

(iii) l’identification des lieux de Traitement, et (iv) les dates des derniers audits réalisés.

En tout état de cause, le Prestataire demeure pleinement responsable envers le Client de l’exécution des obligations incombant à ses Sous-Traitants de Données Personnelles.

• Transferts internationaux de Données Personnelles
• TransfertdesDonnéesPersonnellesduClientdepuisl’EEEversunpaystiersnefaisantpaspartiedel’EEE

Sauf accord exprès spécifique contraire, le Prestataire s’engage à Traiter les Données Personnelles du Client exclusivement dans l’Espace économique européen (EEE).

Le Prestataire s’engage à ne divulguer, à ne rendre accessible ou à ne transférer aucune Donnée Personnelle du Client, même à des fins d’acheminement, à un Sous-Traitant de Données Personnelles ou à tout autre Sous-Traitant depuis l’EEE vers un pays tiers ne faisant pas partie de l’EEE, à moins (x) d’avoir obtenu l’autorisation préalable, spécifique et expresse du Client et (y) de prendre les mesures et de mettre en place les garanties nécessaires pour s’assurer que le transfert est conforme à la Règlementation Applicable en matière de Données personnelles, comme décrit plus en détails ci- dessous.

Le Prestataire garantit qu’aucune Donnée Personnelle du Client ne sera transférée en dehors de l’EEE par ses propres Sous-Traitants de Données Personnelles ou tout autre Sous-Traitant, sauf autorisation préalable et expresse du Client et à la condition que les garanties nécessaires à ce transfert soient mises en œuvre.

La liste des pays dans lesquels les serveurs, utilisés pour fournir les Services, sont hébergés figure en Annexe. Le Prestataire ne doit pas modifier ces pays, sans en avoir informé le Bénéficiaire, afin de donner au Bénéficiaire la possibilité de s’opposer à ladite modification. Le Prestataire conservera et fournira au Client une liste actualisée de ses Sous-Traitants de Données Personnelles autorisés et des pays dans lesquels les Données Personnelles du Client sont transférées ou rendues accessibles.

En cas de transfert en dehors de l’EEE autorisé par le Client, ce transfert ne pourra intervenir que (i) vers un pays reconnu par la Commission européenne comme assurant un niveau de protection adéquat des Données Personnelles, ou (ii) sur la base de clauses contractuelles types émises par la Commission européenne concernant le transfert des Données Personnelles, à condition que ces clauses couvrent les Données Personnelles du Client et soient signées par le Prestataire au nom et pour le compte du Client, ou (iii) sur la base des règles d’entreprise contraignantes du Prestataire approuvées par les autorités de contrôle, ou (iv) sur la base de tout autre fondement légal prévu par la Règlementation Applicable en matière de Données Personnelles, sous réserve que cette autre base légale soit expressément approuvée par écrit par le Client (les « Garanties»). Une copie de ces Garanties sera mise à la disposition du Client avant la signature du Contrat puis à chaque nouveau transfert autorisé.

• Transfert des Données Personnelles du Client lorsque le Client n’est pas situé dans l’EEA ou les Données Personnelles du Client ne sont pas collectées au sein de l’EEA

Le Prestataire s’engage à ne divulguer, à ne rendre accessible ou à ne transférer aucune Donnée Personnelle du Client, même à des fins d’acheminement, à un Sous-Traitant de Données Personnelles ou à tout autre Sous-Traitant à l’extérieur du pays où soit (a) le Client est établi soit (b) les Données Personnelles du Client sont collectées si une telle divulgation, mise à disposition ou transfert est interdit par la législation et la règlementation locale applicable. Si une telle divulgation, mise à disposition ou transfert n’est pas interdit, le Prestataire s’engage à mettre en place les garanties nécessaires pour s’assurer que cette divulgation, mise à disposition ou transfert est conforme à la législation et la règlementation locale applicable.

• Le Prestataire déclare que ses Sous-Traitants respectent également les termes du présent article. Le Client se réserve le droit de procéder à toute vérification qu’il jugerait utile afin de confirmer que les obligations résultant du présent article sont respectées.
• Conservation des Données Personnelles

Le Prestataire s’engage, à la demande du Client, et dans tous les cas suivant la résiliation ou l’expiration du Contrat, à :

• restituer au Client les Données Personnelles du Client dans un format lisible et interopérable dans un délai de quinze (15) jours à compter de la demande ou de la résiliation ou l’expiration du Contrat ;
• détruire immédiatement après restitution toutes les copies des Données Personnelles du Client qu’il pourrait avoir en sa possession. Cette destruction consiste en une suppression irréversible de toutes les copies des Données Personnelles du Client sur son matériel ou sur tous autres supports quels qu’ils soient en sa possession (sauf obligation légale imposant de conserver les Données Personnelles du Client ; dans ce cas, les Données Personnelles du Client seront conservées uniquement pour la durée requise par la loi et la réglementation applicable et en base archives uniquement). Immédiatement après la destruction et sous réserve de l’exception visée ci-dessus, le Prestataire devra attester de la destruction effective des Données Personnelles du Client auprès du Client ; et
• Demander à ses Sous-Traitants de restituer les Données Personnelles du Client dans un format lisible et interopérable dans un délai de quinze (15) jours à compter de la demande du Client ou de la résiliation ou de l’expiration du Contrat puis de les détruire immédiatement après restitution (sauf obligation légale imposant de conserver les Données Personnelles du Client ; dans ce cas, les Données Personnelles du Client seront conservées uniquement pour la durée requise par la loi et la réglementation applicable et en base archives uniquement). Le Prestataire devra attester de la restitution et, sous réserve de l’exception visée ci-dessus, de la destruction des Données Personnelles du Client par ses Sous-Traitants.

Le Client se réserve le droit de procéder à toute vérification qu’il estime nécessaire afin de confirmer l’exécution de ces obligations.

Cet article restera en vigueur après l’expiration ou la résiliation, pour quelque raison que ce soit, du Contrat.

• Collaboration

Le Prestataire collaborera avec le Client et mettra tout en œuvre pour aider le Client à prouver qu’il respecte toutes exigences prévues par la Règlementation Applicable en matière de Données Personnelles.

À cet égard, le Prestataire mettra notamment à la disposition du Client toutes les informations nécessaires afin de prouver le respect des obligations énoncées dans le présent article et autorisera et contribuera aux audits, y compris aux inspections, effectués par le Client ou par tout auditeur tiers désigné par le Client ou par toute autorité de contrôle.

Le Prestataire doit informer sans délai le Client si, selon lui, une instruction enfreint la Règlementation Applicable en matière de Données Personnelles.

• AUDIT

Pendant toute la durée du Contrat, le Prestataire autorise le Client à réaliser lui-même ou, à ses frais, à faire réaliser par des auditeurs indépendants – sous réserve du respect d’un préavis de cinq (5) Jours Ouvrés – des tests et audits de tout ou partie des Services, y compris ceux réalisés par les Sous-Traitants, afin de s’assurer du respect de ses obligations contractuelles, et notamment :

• la conformité des Services aux obligations de sécurité prévues dans le Contrat ;

• la conformité aux Niveaux de Service ;

• le respect par le Prestataire de la Règlementation Applicable en matière de Données Personnelles et des stipulations du présent Contrat relatives aux Données Personnelles.

Le Prestataire s’engage à autoriser le Client, ou les sociétés nommées par le Client auxquelles est confié l’audit, à accéder aux informations nécessaires à l’accomplissement de leur mission et à accéder aux sites où sont assurés les Services. En particulier, le Prestataire coopèrera pleinement dans le cadre de cet audit en donnant accès à du personnel averti, aux locaux, aux environnements physique et technique, à la documentation, aux infrastructures, aux logiciels d’application relatifs aux Services et à toutes informations utiles raisonnablement nécessaires à la réalisation de l’audit.

Un rapport d’audit devra être adressé au Prestataire.

Le Prestataire autorise également le Client à effectuer ou à faire effectuer des tests de sécurité en continu pour vérifier que ses applications et les Données ne sont pas vulnérables (par exemple du fait d’un défaut de configuration ou d’une absence de mise à jour) et pour détecter tout changement susceptible d’exposer les Données à des risques d’intrusion.

Par ailleurs, le Client peut procéder à toute vérification sur Internet permettant de détecter des Incidents de Sécurité avérés.

Si le rapport d’audit ou les autres tests de sécurité démontrent que les mesures de sécurité ne sont pas appropriées ou suffisantes ou révèlent des lacunes ou non-conformités aux exigences énoncées dans le présent Contrat, aux exigences légales applicables au Prestataire ou au Client et/ou aux Standards de l’Industrie, le Prestataire mettra en place des actions correctives dans des délais à convenir entre les Parties, en fonction de la gravité du manquement constaté, et ce sans préjudice des droits supplémentaires du Client.

Les frais de l’audit sont à la charge du Prestataire en cas de manquements constatés dans le cadre de l’audit.

• CLOUD ACT

Il est précisé que le Règlement Général pour la Protection des Données (UE) No. 2016/679, la loi « de blocage » n° 68-678 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères et la Directive 2016/943/UE sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, constituent, sans que cette liste ne soit limitative, des exceptions à l’application du Cloud Act (Clarifying Lawful Overseas Use of Data Act) en date du 23 Mars 2018, tel que prévu par l’article §103 (b) dudit texte. A cet égard, le Prestataire s’engage à informer le Client sans délai, et au plus tard dans les deux (2) jours ouvrés, de toute demande émanant d’une autorité américaine d’accéder aux Données.

• ASSURANCE

Le Prestataire devra souscrire les polices d’assurance nécessaires auprès d’une compagnie d’assurance notoirement solvable couvrant l’ensemble des responsabilités qui pourraient lui être imputées en vertu du présent Contrat, et en particulier :

• un ou plusieurs contrats d’assurance garantissant sa responsabilité civile générale d’une part et sa responsabilité civile professionnelle d’autre part (couvrant notamment tous dommages corporels, matériels et immatériels, consécutifs ou non, résultant de l’exécution des Services) et,
• une assurance cyber-risques garantissant les atteintes, chez le Client, à la sécurité informatique et à la confidentialité des Données (couvrant notamment toutes les conséquences pécuniaires des Incidents de Sécurité, des Violations des Données et du défaut de protection des Informations Confidentielles et Données Personnelles).

Le Prestataire devra justifier au Client de la souscription de ces polices d’assurance en présentant, avant la signature du présent Contrat, puis à tout moment sur demande du Client, une attestation délivrée par les assureurs reprenant le détail, le montant des garanties, les exclusions et les franchises. Une copie des attestations d’assurance en vigueur à la date de signature du Contrat est jointe aux présentes.

Il est expressément convenu que le Prestataire doit maintenir à minima le niveau d’assurance et de garantie existant lors de la signature du Contrat pendant toute la durée dudit Contrat et pendant cinq (5) ans après son expiration ou sa résiliation pour quelque cause que ce soit. Le Prestataire devra informer par écrit le Client de toute modification des polices d’assurance applicables susceptible d’impacter le Client.

GESTION DES INCIDENTS INFORMATIQUESC-CLERC

GESTIONDESINCIDENTSINFORMATIQUES

Détectionetsignalement

La détection peut avoir pour origine :

• toute personne qui a connaissance d’un fait ou d’une menace pour l’organisme (par exemple comportement anormal d’un équipement, d’une application ou d’une personne),
• un administrateur lorsqu’il est informé par un dispositif de supervision ou lorsqu’il constate une anomalie lors de contrôle.
• un acteur de la sécurité lorsqu’il est informé par un outil de surveillance (détection d’intrusion ou d’action frauduleuse) ou lorsqu’il constate une anomalie lors de contrôles.

L’anomalie doit pouvoir être signalée à une personne compétente dans les plus brefs délais. Le contact habituel pour l’utilisateur est le help desk. Cependant, il doit également être possible de contacter directement un responsable de la sécurité en toute discrétion si la situation l’exige.

Les utilisateurs doivent être sensibilisés et informés sur les différents niveaux d’alerte. Dans tous les cas, on doit s’assurer que les moyens d’alerte sont suffisamment rapides, y compris en dehors des heures ouvrées, pour permettre une réponse adaptée (empêcher que l’incident se poursuive, préserver les preuves, etc.).

Des mesures immédiates peuvent être associées à la détection, soit sous forme de consignes pour la personne qui détecte, soit par l’activation automatique de mécanismes de protection.

Priseencompte

• Enregistrement de l’incident

Comme indiqué précédemment, un incident supposé de sécurité peut être signalé à différentes personnes, en général le help desk, selon des procédures devant être connues de tous. Dans tous les cas, la personne qui réceptionne l’appel ou l’alerte doit en accuser réception.

L’événement doit immédiatement être enregistré dans une base de données des incidents. A ce stade de la procédure, l’événement n’est pas encore qualifié d’incident de sécurité mais il est catégorisé.

L’enregistrement de l’événement doit comporter à minima la date et l’heure de l’alerte, son origine (personne ou dispositif technique), les coordonnées du déclarant, une description aussi précise que possible de l’événement et sa catégorisation. Comme pour tout incident, un numéro de dossier est généré et communiqué si nécessaire au déclarant. La personne qui enregistre l’événement doit également mentionner l’action immédiate déclenchée (par exemple transmission à une équipe support ou directement à l’équipe de traitement des incidents de sécurité pour qualification).

L’enregistrement de l’événement est essentiel à plusieurs titres. Il permet de garder une trace de chaque événement et d’en effectuer un suivi dans toutes les phases ultérieures, d’analyse ou de traitement, jusqu’à la fermeture du dossier.

La base des événements constitue également un outil d’analyse a posteriori dans le cadre d’analyses de risques, pour évaluer l’efficacité des dispositifs en place ou pour identifier des incidents récurrents pouvant être qualifiés de « problème ».

• Catégorisation par une équipe support

Une fois l’incident identifié comme « incident de sécurité potentiel », l’équipe support peut être habilitée pour prendre des mesures ou transmettre l’incident à l’équipe de gestion des incidents de sécurité.

L’équipe de réponse aux incidents de sécurité établit des consignes d’alerte sécurité (fiches par type d’incident) pour les équipes support.

Pour les incidents identifiés, ces consignes indiquent le mode opératoire du traitement de ces incidents pour les équipes de support. Dans les autres cas, c’est l’équipe de réponse aux incidents de sécurité qui doit être immédiatement sollicitée.

Les consignes peuvent éventuellement spécifier que tout incident susceptible d’être d’origine malveillante ou concernant certains équipements ou logiciels ou encore signalé par certains dispositifs techniques, doit être transmis à l’équipe de réponse aux incidents de sécurité.

• Qualification par l’équipe de réponse aux incidents de sécurité

Une première analyse, conduite par l’équipe de réponse aux incidents de sécurité, confirme ou infirme la catégorisation « incident de sécurité ». Les incidents non confirmés « incident de sécurité » sont transmis aux équipes support pour traitement.

L’équipe de réponse aux incidents de sécurité procède si nécessaire à des investigations complémentaires pour qualifier l’événement. Les critères d’évaluation d’impact prenant en compte différents axes d’analyse (impacts financiers, impacts sur l’image, impacts sur les clients ou partenaires, risques de poursuite judiciaire, etc.) doivent être préétablis et mis à la disposition de l’équipe. Typiquement ces critères sont issus de l’analyse de risque.

Il est nécessaire de tenir un journal de bord horodaté et précis des événements et actions dès sollicitation de l’équipe.

Réponseàl’incidentSSI

• Mesures de réponses immédiates

Suite à la qualification, des mesures d’urgence peuvent être prises pour limiter les impacts et préserver les traces. En effet, même sans connaître précisément la nature de l’incident, son origine ou son impact réel qui seront l’objet de la phase d’analyse, le simple fait d’identifier le type de danger peut déclencher des actions palliatives, comme par exemple :

• un confinement (ex : débranchement du réseau d’un poste infecté pour le mettre dans un VLAN de quarantaine) ;
• une isolation (ex : couper tous les flux de messagerie Internet) ;
• une communication ciblée de recommandations ;

Certaines de ces mesures peuvent être prévues à l’avance dans des procédures du support et de l’équipe sécurité.

Si ces mesures s’avèrent insuffisantes ou/et si la situation n’est pas maitrisée ou/et si le niveau d’impact de l’incident le justifie, au regard des critères d’évaluation, la cellule de crise doit être activée.

• Investigations

L’analyse de l’incident a pour objectif de préciser les éléments suivants :

• la nature de l’incident,

• le fait générateur,
• le périmètre concerné,
• l’impact.

Ces éléments permettront de définir les actions à entreprendre. Dans certains cas les conclusions de l’investigation peuvent conduire à l’activation de la cellule de crise.

• Préservation des traces

Certaines précautions doivent être prises. En particulier, en cas de piratage (par exemple), si le but de l’analyse est de remonter à la source de la manipulation frauduleuse et de prendre des mesures légales à l’encontre des auteurs des faits, il est nécessaire de préserver les informations d’origines (logs, etc.) afin de conserver le contexte de preuve.

En effet, l’analyse peut, dans certains cas modifier (le travail d’analyse génère lui-même des traces qui se confondent ensuite avec les traces laissées par l’agresseur), voire effacer, les traces du passage d’un ‘attaquant’. De fait, il est nécessaire de sauvegarder (par exemple via une copie intégrale, de type bit à bit) les informations avant d’entreprendre toute action susceptible de nuire à l’intégrité des données sur le support d’origine.

Si une copie complète des disques n’est pas réalisable ou l’est difficilement, il faut au moins conserver une copie des logs (journaux de connexions au système). Toutefois, cette sauvegarde n’est pas toujours simple à mettre en œuvre et peut nécessiter des outils et/ou des compétences particulières.

Enfin, les données ainsi sauvegardées doivent être protégées physiquement et un cadre opératoire doit être mis en œuvre qui précisera notamment par qui ces sauvegardes ont été effectuées, à quel moment, comment elles ont été protégées et qui y a eu accès.

En fonction des enjeux, il peut être recommandé de faire appel à un huissier de justice. Le travail d’investigation pourra alors commencer, si possible sur les copies de sauvegarde, les disques durs d’origine étant rangés en lieu sûr (une procédure pouvant durer des mois, voire des années). Ces derniers ainsi que la sauvegarde des logs, pourront servir de preuves en cas de poursuites judiciaires.

• Environnements potentiellement concernés

Durant l’investigation il est important de déterminer le périmètre concerné :

• OS,
• réseau et téléphonie,
• serveurs,
• applications,
• locaux,
• groupe de personnes,
• données,
• services,
• clients, fournisseurs, partenaires, …

• Aide à l’analyse

Dans chaque environnement technique il existe des outils qui peuvent aider à déterminer l’étendue de l’attaque menée. Des procédures peuvent également être mises en œuvre, intégrant des check-lists qui permettent de réaliser l’analyse dans les meilleures conditions. Par exemple, on peut positionner les actions suivantes :

• vérifier les performances des systèmes,
• rechercher des processus ou des applications non autorisées en cours d’exécution,

• si des logs existent, y rechercher d’éventuelles connexions inhabituelles, tentatives d’ouverture de session infructueuses, tentatives d’ouverture de session avec des comptes par défaut, etc.,
• déterminer si du matériel non autorisé a été connecté au réseau,
• examiner les groupes clés (administrateurs, etc.) afin de vérifier qu’ils ne contiennent pas de membres non autorisés,

• Identification du fait générateur et analyse de l’impact

L’objet principal de l’analyse de l’incident proprement dit permet de répondre à plusieurs questions qui se posent, comme par exemple :

• quelle est la vulnérabilité ou la faiblesse qui a rendu possible l’incident ? si aucune réponse claire n’est trouvée à cette question, le système restera vulnérable une fois remis en service ; il pourrait être attaqué à nouveau,

• quel est l’inventaire des dégâts ou quel est l’impact de l’incident (déni de service, baisse de la qualité du service, perte de donnée, divulgation d’information confidentielle, etc.).

• Traitement

• Mesures pour éviter l’aggravation des conséquences

En complément des mesures de réponses immédiates déjà prises dès la qualification de l’incident, des mesures peuvent être prises pour éviter l’aggravation des conséquences.

Disposant à ce stade des informations obtenues lors des investigations, ces mesures seront plus ciblées que les réponses conservatoires d’urgence :

• restrictions temporaires d’accès aux réseaux ou/et aux applications : ces restrictions peuvent être, suivant les cas, des blocages ou des simples filtrages. (exemple : interdiction d’accès à certains sites Web)
• communications ciblées : pour adapter la communication, il faut évaluer très rapidement la durée de la perturbation (exemple : évaluer la durée de restauration par rapport au volume de données à restaurer en cas de pertes de données). On identifie trois types de communication :

–

• communication vers les utilisateurs. Le communiqué contient en règle générale à minima : les faits qui doivent être édulcorés dans certains cas, les activités impactées du fait des restrictions temporaires en place, des consignes de comportements (exemple : ne pas ouvrir les pièces jointes), l’heure prévisionnelle de retour à la normale.
• communication technique entre homologues (d’autres sites ou filiales) : les faits précis, les recommandations d’actions, une proposition d’actions coordonnées.

• communication vers les externes (clients, assureurs, fournisseurs, etc.).

• Déclaration à la CNIL et aux Assurances

Procéder aux déclarations de sinistres en faisant attention à :

• la tenue des délais : généralement 48 heures à compter de l’intrusion ;
• ne rien « toucher » avant la venue de l’expert en assurances sauf nécessité.

En cas d’urgence, on peut remplacer le matériel et mettre le matériel endommagé de côté (cette mesure ne peut être prise qu’en cas d’urgence, afin d’éviter l’arrêt de l’exploitation).

Si le sinistre est important, des photos peuvent ne pas suffire, il faut procéder à un constat par huissier et faire mettre toutes les preuves sous scellés.

• Résolution de l’incident

Sans être exhaustifs, les quelques points ci-dessous nécessitent une attention particulière.

Appelsauxsupportsexternes:L’entreprise ou l’organisme peut avoir besoin d’urgence de compétences externes qui interviendront à distance ou sur site et qu’il faut réserver en priorité en raison des délais d’intervention.

Éradication:L’éradication du problème dépend du type d’incident rencontré. On peut noter deux grandes tendances entre lesquelles il faudra choisir :

• le mode « réparation », souvent manuel mais qui peut être automatisé par un script,
• le mode « restauration ou réinstallation » en repartant d’une sauvegarde ou d’une image système.

Les critères de choix entre ces deux méthodes sont :

• le temps total (estimation) pour éradiquer l’incident,
• le niveau de certitude d’avoir bien identifié tous les impacts précis liés à l’incident,
• le niveau de perte de données acceptable.

Dans les cas complexes, il peut être important d’écrire le plan d’action correctif pour bien ordonnancer les étapes.

Détermination du point zéro de l’incident. Les éléments permettant de déterminer le point zéro sont (entre autres):

• le recueil des preuves et journaux,
• le témoignage des utilisateurs,
• tous les outils de supervision et reporting.

Cette compréhension de l’origine de l’incident permet de vérifier la pertinence des mesures correctives et de réduire le risque de reproduction.

• Méthodes et outils

Du début à la fin de l’incident, les outils indispensables sont :

• outil d’enregistrement des évènements ainsi que les moyens d’accès associés (téléphone, messagerie, etc.),
• outil de supervision.

D’autres outils peuvent être utiles ou nécessaires :

• outils de diagnostic,
• outils de confinement :
  • VLAN de confinement,
  • blocage au niveau de l’annuaire d’entreprise/organisme ou des comptes locaux des équipements,
  • blocage ou filtrage sur tout équipement de sécurité (pare-feu, relais filtrant http ou SMTP, etc.),
• outils de réparation :
  • antivirus / kit de décontamination antiviral (exemple : clé USB bootable ou le CD (pour des matériels plus anciens) contenant des anti-malwares et outils systèmes basées de préférence sur un OS différent de celui qui est installé et pouvant prendre en charge de façon fiable le système de fichier à examiner (exemple : LINUX pour examiner NTFS).
  • outils de déploiement de patchs systèmes et/ou d’applications,
  • outils de restauration d’images systèmes, de données ou d’environnement virtuel,

Enfin, l’accès aux moyens de communication téléphoniques et informatiques et à Internet est indispensable pour communiquer ou s’informer.

En cas d’incident empêchant l’accès à ces outils, les équipes d’intervention doivent bénéficier de dispositifs alternatifs.

CONDITIONS GÉNÉRALES D’UTILISATION DE LA SOLUTION C-CLERC

La société C-CLERC (ci-après dénommée «laSociété»ou «C-CLERC») est une société par actions simplifiée au capital de

1.000 euros, dont le siège social est situé 4 Boulevard des Sablons 92200 Neuilly-sur-Seine, France, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 949 182 737.

Les présentes Conditions Générales d’Utilisation (ci-après désignées les « CGU ») définissent le cadre légal de l’utilisation du site internet accessible à l’adresse https://c-clerc.fr/ ci-après dénommé le «Site»et/ou«LaPlateforme»), conçu et exploité par la Société. Les présentes CGU contiennent également des informations relatives aux droits des utilisateurs et aux restrictions imposées à ces droits par les lois ou règlements.

Le Site est hébergé par la société OVH, dont le siège social est situé au 2 rue Kellermann, 59100 Roubaix, France. Mme Leah BENGUIGUI est directeur de la publication.

Par toute utilisation de la Solution ainsi que de ses services, l’utilisateur accepte sans réserve les présentes CGU. Il déclare et reconnaît, en conséquence, avoir lu les présentes CGU.

Chaque utilisateur doit se reporter à la version la plus récente de ces conditions, disponible à l’adresse suivante : https://c-clerc.fr/

Il est possible de contacter la Société à l’adresse indiquée en tête des présentes, par courrier électronique à l’adresse (o) ou par téléphone au +

ARTICLE 1 : DÉFINITIONS

Dans les présentes CGU, les mots ou expressions commençant avec une majuscule ont la signification qui suit :

• Compte: désigne l’espace accessible sur la Plateforme, permettant aux Utilisateurs d’accéder à l’ensemble des fonctionnalités proposées par la Société ;

• Contenu: désigne tout(e) texte, graphique, image, musique, vidéo ou autre élément susceptible d’être mis en ligne par un Utilisateur ;

• DonnéesPersonnelles: désigne les données à caractère personnel au sens du règlement européen sur la protection des données personnelles que la Société collecte, transmet ou traite, permettant d’identifier ou de rendre identifiable toute personne physique ;

• Droit de Propriété Intellectuelle: désigne l’ensemble des droits de propriété littéraire et artistique (droit d’auteur et droit voisin), de propriété industrielle (marque, dessin et modèle et brevet) prévus dans le Code de propriété intellectuelle et les Traités internationaux ;

• Plateforme: désigne la Solution ainsi que l’ensemble du Contenu créé dont notamment : la charte graphique, les frames, les bannières, les animations flash et vidéo, le code source, code html et programmation ;

• Service ou Prestation: désigne tout service commercialisé par la Société via la Plateforme et, plus généralement, toutes les fonctions, installations, utilisations, informations, offres de partenaires et/ou promotionnelles ou tous autres services accessibles via la Plateforme ;

• Solution : désigne la solution SaaS, mise en place par la Société dans le cadre des Prestations à destination des Utilisateurs et notamment, le logiciel CRM C-CLERC.

• Utilisateur(s) et/ou Client(s): désigne toute personne disposant d’un Compte et qui utilise la Plateforme ou tout ou partie des Services proposés par celle-ci ;

ARTICLE 2 : OBJET ET CHAMPS D’APPLICATION

La Société a pour activité la fourniture et la commercialisation de diverses systèmes et solutions informatiques, permettant notamment à ses clients exerçant la profession de notaire la gestion de la relation client (CRM) . Ces logiciels sont disponibles en mode SaaS « Service as aSoftware ».

En bénéficiant des Services commercialisés par la Société via la Plateforme, les Utilisateurs déclarent accepter sans réserve les présentes CGU. Les Utilisateurs déclarent et reconnaissent, en conséquence, avoir lu et compris les dispositions des présentes CGU. À tout moment, si l’Utilisateur est en désaccord avec l’une des clauses des CGU, il doit immédiatement mettre fin à l’utilisation de la Plateforme et des Services associés.

Les présentes CGU sont disponibles à tout instant en cliquant sur un lien direct situé en bas de chaque page de la Plateforme. Les Prestations proposées par la Société sont accessibles sur la Plateforme.

La Plateforme et ses Services sont accessibles à tout Utilisateur disposant d’un accès à internet. Tous les coûts afférents à l’accès sur la Plateforme, que ce soit les frais matériels, logiciels ou d’accès à internet sont exclusivement à la charge de l’Utilisateur.

L’accès à la Plateforme ou ses Services peut être limité à un nombre maximum d’accès et/ou une durée déterminée dans une période de temps définie.

La Société se réserve le droit de créer toutes les fonctionnalités qu’elle jugera utile.

ARTICLE 3 : ENTRÉE EN VIGUEUR – DURÉE

Les présentes CGU sont applicables pendant toute la durée de la navigation et d’accès à la Plateforme.

La Société se réserve le droit de modifier les présentes CGU à tout moment. A moins que les amendements ne soient dus à des obligations juridiques ou administratives, l’Utilisateur disposera d’un préavis raisonnable avant la mise en application des CGU mises à jour.

Toute modification prendra effet à compter de leur publication. L’Utilisateur accepte d’être averti des CGU mises à jour par leur publication sur la Plateforme.

En continuant d’utiliser la Plateforme ou en y accédant après la date de prise d’effet des CGU mises à jour, l’Utilisateur déclare avoir pris connaissance des mises à jour et accepte toutes les modifications qui y sont apportées. Les présentes CGU régissent les éventuels conflits qui pourraient survenir avant la date de prise d’effet des CGU mises à jour.

La dernière version des CGU disponible en ligne sur la Plateforme prévaudra, le cas échéant, sur toute autre version des présentes CGU.

ARTICLE 4 : CREATION D’UN COMPTE

• Pour accéder à l’ensemble des fonctionnalités de la Plateforme, l’Utilisateur doit posséder un Compte. L’accès à la Plateforme et la navigation sur la Plateforme sont subordonnés à l’inscription sur la Plateforme.

Lors de chaque utilisation de la Plateforme, l’Utilisateur doit systématiquement saisir ses identifiants qu’il doit garder secrets. Ces identifiants sont intransmissibles et à usage strictement personnel. L’Utilisateur doit s’assurer que ses identifiants ne sont pas utilisés ou susceptibles d’être utilisés par des tiers. A ce titre, il s’engage à conserver les différents éléments composants ses identifiants de manière séparée.

L’Utilisateur garantit qu’il protégera les renseignements relatifs à son Compte et sera entièrement responsable de toute utilisation de son Compte par lui-même ou par un tiers.

• Chaque commande de Solution passée par l’Utilisateur est précédée d’une ouverture de dossier. La Société procédera alors à l’étude du projet du Client et transmettra un Bon de commande établi sur la base des informations fournies.

La Société est susceptible de demander certaines informations complémentaires afin d’attester de la réalité de l’identité de l’ensemble des utilisateurs potentiels de la Plateforme. En acceptant les présentes CGU, les Utilisateurs acceptent de transmettre l’ensemble des informations susvisées à la première demande de la Société. A défaut, les Services ne seront pas accessibles.

Une fois le Bon de commande accepté par le Client, la Société procédera à la création du Compte de l’Utilisateur, lui permettant ainsi de faire usage de la Solution, dans les conditions et selon les modalités déterminées dans les Conditions Générales de Services Saas, disponibles à l’adresse https://app.c-clerc.fr/.

L’Utilisateur s’engage à fournir des informations personnelles exactes et conformes à la réalité et à les mettre à jour systématiquement, par l’intermédiaire de son profil ou en en avertissant la Société, afin d’en garantir la pertinence et l’exactitude tout au long de l’utilisation de la Plateforme. L’Utilisateur s’engage à ne pas créer ou utiliser, sous sa propre identité ou celle d’un tiers, d’autres Comptes que celui initialement créé.

En cas de méconnaissance des dispositions des présentes CGU, la Société se réserve le droit de modifier ou résilier l’accès à la Plateforme à tout moment, sans préavis et sans responsabilité envers l’Utilisateur.

La Société se réserve également le droit de supprimer un Contenu quel qu’il soit de la Plateforme, pour quelque raison que ce soit et sans avis préalable. Il se peut toutefois que le Contenu supprimé soit conservé par la Société dans le cadre du respect de certaines obligations légales.

ARTICLE 5 : SERVICES

• La création d’un Compte permet notamment aux Utilisateurs d’accéder à certaines fonctionnalités disponibles sur la Plateforme. Ces fonctionnalités permettent notamment :

• D’accéder à la Solution et à l’ensemble de ses fonctionnalités, permettant notamment aux Utilisateurs de :
  • Automatiser l’envoi de courriels auprès de clients ;
  • De réaliser un suivi de dossiers, étape par étape ;
  • D’attribuer des missions / taches à réaliser aux différents Utilisateurs ;
• De sélectionner et de commander de divers produits proposés par C-CLERC, dans les conditions et selon les modalités déterminées dans les conditions générales de vente de la Société, disponibles à l’adresse https://c-clerc.fr/conditions- generales-de-vente.
• D’accéder aux données du Compte ;
• De contacter l’assistance technique de la Société ;

Les Services proposés par la Société sont susceptibles d’évoluer. La Société se réserve le droit de proposer tous Services qu’elle jugera utile, sous une forme et selon les fonctionnalités et moyens techniques qu’elle estimera les plus appropriés pour rendre lesdits Services.

ARTICLE 6 : OBLIGATIONS DES PARTIES

• L’Utilisateur s’engage, pendant toute la durée de l’utilisation de la Plateforme et de la Solution, à respecter les lois et les règlements en vigueur et à ne pas porter atteinte aux droits des tiers ou à l’ordre public. Il est seul responsable des informations transmises à la Société via la Plateforme. A ce titre, la responsabilité de la Société ne pourra en aucun cas être engagée.

• Lors de l’utilisation de la Plateforme et/ou de la Solution, les Utilisateurs s’interdisent de :

• Diffamer, injurier, harceler, traquer, menacer ou enfreindre de toute autre manière les droits d’autrui (tels que les droits relatifs à la vie privée et à la publicité) ;
• Télécharger vers les serveurs de la Société, publier, adresser par courrier électronique, transmettre ou rendre disponible de toute autre manière des éléments de quelque nature que ce soit (informatiques ou non, écrits ou non, etc.) ;
• Usurper l’identité d’une autre personne physique ou morale, falsifier ou supprimer des mentions de droits d’auteur, des mentions légales, des indications de droits de propriété ou des libellés concernant l’origine ou la source de Services ou de tous autres éléments de la Plateforme ;
• Supprimer les avis relatifs aux droits d’auteur, aux marques commerciales et aux droits de propriété qui figurent dans la Plateforme et/ou ses Services et/ou les documents afférents ;
• Empêcher partiellement ou totalement un autre Utilisateur d’accéder ou d’utiliser la Plateforme d’employer ou bénéficier des Services ;
• Utiliser la Plateforme et/ou la Solution à des fins illégales, interdites ou susceptible de porter atteinte à l’ordre public et/ou aux bonnes mœurs ;
• Gêner ou interrompre la Plateforme et/ou la Solution, ou les serveurs ou réseaux connectés à la Plateforme et/ou la Solution, ou violer les exigences, procédures, règlements ou réglementations des réseaux connectés ;
• Utiliser un robot, une araignée (spider), ou tout autre dispositif pour récupérer ou indexer tout ou partie de la Plateforme et/ou de la Solution, ou pour collecter des informations sur les Utilisateurs à des fins non autorisées ;
• Créer des Comptes automatiquement ou à des fins détournées ou frauduleuses ;
• Promouvoir ou fournir des instructions sur des activités illégales, ou promouvoir la violence physique ou morale envers un groupe ou une personne ;
• Promouvoir toute religion ou toute activité religieuse ;
• Proposer toute promotion commerciale ou tarifs préférentiels de toute autre société ou service ;
• Transmettre des virus, vers, défauts, chevaux de Troie ou tout autre élément de nature destructrice ou susceptible de dérober ou révéler des données d’un autre Utilisateur.

• Les Utilisateurs s’engagent également à :

• Ne transmettre à la Société aucune fausse information ;
• Ne transmettre ses identifiants d’accès à la Plateforme à aucune personne physique et/ou morale non autorisée par la Société ;
• Ne pas adopter, lors de l’utilisation de la Plateforme, un comportement qui soit de nature (i) à causer un harcèlement des tiers ou à appeler les tiers à se livrer à un harcèlement, (ii) à inciter à la haine, la discrimination, le racisme, le fanatisme et à la violence physique d’individus ou de groupes d’individus, (iii) à solliciter des fonds pour le financement d’activités illicites, (iv) à représenter ou prôner des activités illégales ou des comportements de caractère diffamatoire, injurieux, obscène, menaçant ou calomnieux ainsi que des informations fausses ou trompeuses, (v) à favoriser ou encourager toute activité ou entreprise criminelle ou donnant des indications ou des instructions sur le moyen de favoriser les activités illégales, l’atteinte à la vie privée, la diffusion et la création de virus informatiques.

• En cas de manquement par l’Utilisateur à quelconque des dispositions des présentes, la Société se réserve le droit de :

• Suspendre, supprimer ou empêcher l’accès aux Services de l’Utilisateur – auteur ou complice du manquement ;
• Supprimer tout Contenu en lien avec le manquement en totalité ou en partie ;
• Prendre toutes mesures appropriées et engager toute action en justice ;
• Avertir le cas échéant les autorités compétentes, coopérer avec elles et leur fournir toutes les informations utiles à la recherche et à la répression d’activités illégales ou illicites.

ARTICLE 7 : RESPONSABILITÉ

• La Société ne peut être tenue responsable du Contenu transmis par les Utilisateurs via la Plateforme et ne donne aucune garantie, expresse ou implicite, à cet égard.

Les Utilisateurs sont les seuls responsables de l’utilisation qu’ils font de la Plateforme et de la Solution et des conséquences directes ou indirectes de cette utilisation. Ils leur appartiennent d’en faire un usage conforme à la réglementation en vigueur et aux recommandations de la C.N.I.L.

• La Société n’est également tenue d’aucune obligation de présélectionner, de contrôler ou de modifier les informations transmises par les Utilisateurs via la Plateforme. La Société ne saurait être responsable des choix effectués par les Utilisateurs.

En aucun cas la Société, ses filiales ou entités affiliées, ou l’un de leurs salariés, dirigeants, administrateurs, mandataires, revendeurs, partenaires, fournisseurs de Contenu tiers ou concédant de licence respectifs, ou l’un de leurs dirigeants, administrateurs, salariés ou mandataires, ne seront tenus responsables de quelconques dommages indirects, incidents, spéciaux, par ricochet ou punitifs découlant de ou se rapportant à :

• L’utilisation de la Plateforme ou de la Solution ;
• L’incapacité à utiliser la Plateforme ou la Solution ;
• La modification ou la suppression de Contenu transmis via la Plateforme ; ou
• les présentes CGU.

En aucun cas la responsabilité de la Société dans le cadre des Services n’excèdera la valeur des sommes qu’elle a perçues. L’Utilisateur convient que tout grief tiré de la Plateforme ou de la Solution, ou s’y rapportant, doit être formulé dans un délai d’un

(1) an à compter du fait générateur du grief, sous peine de forclusion définitive à raison dudit grief. Certains pays ne permettant pas de limiter la durée d’une garantie tacite, il se peut que tout ou partie de la limitation mentionnée ci-dessus ne soit pas applicable.

• De plus, la Société ne saurait être tenue responsable du non-fonctionnement, d’une impossibilité d’accès ou de dysfonctionnement des Services du fournisseur d’accès des Utilisateurs, à ceux du réseau internet. Il en sera de même pour toutes autres raisons extérieures à la Société. En effet, bien que la Société mette tout en œuvre pour éviter un usage malveillant de la Plateforme, la Société ne peut être tenue responsable d’éventuels dommages résultant d’une transmission d’un virus ou de tout autre élément susceptible de contaminer les équipements et programmes informatiques.

• De manière générale, l’Utilisateur s’engage à garantir et relever indemne la Société et ses filiales, affiliés, représentants, agents et personnels, annonceurs ou partenaires, de toute réclamation résultant de l’utilisation non conforme aux présentes CGU de la Plateforme, de la Solution ou du Contenu, du non-respect par lui des présentes CGU ou d’autres actions de sa part liées à une utilisation prohibée de la Plateforme, des Services ou du Contenu.

Il s’engage par ailleurs, de relever indemne la Société, ses filiales, affiliés, représentants, agents et personnels ou partenaires, de toute responsabilité ou dépense résultant de réclamations, des pertes, des dommages (directs ou indirects), des poursuites, des jugements, des frais de justice et des honoraires de Conseil de quelque nature que ce soit.

ARTICLE 8 : DROIT DE PROPRIÉTÉ INTELLECTUELLE

« C-CLERC » est une marque déposée auprès de l’INPI.

La Société est le propriétaire exclusif des droits intellectuels sur la Solution et la Plateforme et notamment de l’ensemble des textes, commentaires, ouvrages, illustrations, vidéos et images, qu’ils soient visuels ou sonores, reproduits sur la Solution et la Plateforme ainsi que ses bases de données dont elle est le producteur.

Toutes ces créations intellectuelles sont protégées au titre du droit d’auteur, du droit des marques, droit des brevets, du droit sui generis des bases de données et droit à l’image, et ce pour le monde entier.

A ce titre et conformément aux dispositions du Code de la Propriété Intellectuelle, seule l’utilisation de la Solution et de la Plateforme pour un usage privé sous réserve de dispositions différentes voire plus restrictives de ce code, est autorisée.

Toute autre utilisation est constitutive de contrefaçon et sanctionnée au titre de la Propriété Intellectuelle sauf autorisation préalable de la Société.

Toute forme de copie totale ou partielle, d’aspiration et de reproduction de la base de données produite et exploitée par la Société sur la Solution est formellement interdite sans son accord écrit et préalable.

ARTICLE 9 : DISPOSITIONS D’ORDRE TECHNIQUE

Les Services sont fournis en l’état et dans la mesure des disponibilités. La Société ne garantit pas une fourniture sans erreur, sans interruption ponctuelle et sécurisée des Services proposés via la Plateforme.

La Société n’est tenue par aucune obligation d’assistance personnalisée notamment technique. La Société décline toute garantie expresse ou implicite notamment concernant la qualité et la compatibilité de la Plateforme à l’utilisation que les Utilisateurs en feront.

La Société propose cependant aux Utilisateurs des services d’assistance technique, relatives à l’utilisation de la Solution. L’ensemble des conditions et modalités de services d’assistance sont mentionnés dans le devis transmis par la Société.

La Société ne garantit aucun résultat ni bénéfice dans l’utilisation qui sera faite des Services proposés à travers la Plateforme.

La Société ne garantit pas davantage que les informations et les données circulant sur Internet sont protégées contre de telles attaques ou des détournements éventuels.

ARTICLE 10 : SECURITÉ

Les Utilisateurs s’engagent à prendre toutes les précautions raisonnables pour préserver la confidentialité de leur identifiant et mot de passe permettant d’accéder à la Plateforme et/ou à la Solution. A cet égard, l’Utilisateur s’engage notamment à :

• N’écrire nulle part et en aucun cas son identifiant ou mot de passe, même sous forme codée ;
• A toujours utiliser ses identifiants à l’abri des regards et oreilles indiscrets ;
• Se garder de composer ses identifiants devant des tiers ;

Il est par ailleurs vivement recommandé aux Utilisateurs de changer, à intervalles réguliers, le mot de passe requis pour l’accès à la Plateforme. A cette fin, l’Utilisateur doit accéder à l’onglet « mot de passe oublié ». La Société lui enverra alors un nouveau mot de passe.

Lorsqu’il modifie son mot de passe, l’Utilisateur doit veiller à ce que le mot de passe ne se compose pas de combinaisons facilement identifiables comme par exemple son nom, prénom, date de naissance, ou ceux d’un proche (conjoint, enfant, etc.), un mot de passe utilisé pour d’autres usages (notamment pour une messagerie personnelle, etc.).

L’Utilisateur s’engage également à ne pas stocker sur son ordinateur, son smartphone et/ou sa tablette numérique, ses identifiants, ni à les envoyer via des canaux de transmission non sécurisés tels que courrier électronique, sms.

L’Utilisateur a par ailleurs la responsabilité d’effacer les informations stockées sur son ordinateur, son smartphone et/ou sa tablette numérique après utilisation des services de paiement, notamment la suppression des cookies et de l’historique ou encore la suppression des données stockées dans la mémoire cache.

Internet est un réseau international ouvert de télécommunication auquel l’Utilisateur peut avoir accès à travers un ordinateur, un smartphone ou une tablette numérique. Pour accéder à la Plateforme et à la Solution, l’Utilisateur doit se conformer aux exigences techniques (concernant les équipements et les logiciels) telles que décrites dans les présentes CGU.

L’Utilisateur est tenu de prendre toutes les mesures nécessaires pour s’assurer que les caractéristiques techniques de son ordinateur, smartphone, ou tablette numérique, ainsi que leurs logiciels et l’abonnement à internet, lui permettent d’accéder à la Plateforme en toute sécurité.

L’Utilisateur est entièrement responsable du fonctionnement correct de son équipement informatique, ainsi que de sa liaison à internet. A ce titre, l’Utilisateur doit veiller à ce que cet équipement ne présente pas de problème ou de virus et présente une sécurité suffisante afin de prévenir le risque qu’un tiers obtienne l’accès à son Compte et aux données que cet espace contient.

L’Utilisateur doit tout mettre en œuvre afin de préserver cette sécurité. Pour cela, l’Utilisateur doit s’assurer en particulier qu’il n’existe pas de risque que des programmes hostiles ou virus accèdent et perturbent les systèmes informatiques de la Société. En particulier, l’Utilisateur doit s’assurer de la sécurité de son ordinateur, smartphone, tablette numérique, en utilisant et en mettant régulièrement à jour des logiciels anti-virus et anti-espions ainsi qu’un pare-feu personnel.

L’Utilisateur assume les risques techniques notamment liés à une coupure de courant, à une interruption des connexions, à un dysfonctionnement ou encore à la surcharge des réseaux ou des systèmes.

L’Utilisateur reconnaît qu’il doit s’adresser au fournisseur d’accès à internet de son choix pour accéder à internet, à la Plateforme et aux Services. Dans ce contexte, l’Utilisateur reconnaît qu’il lui appartient de choisir son fournisseur d’accès à internet et de fixer les modalités de ses relations avec lui.

La Société ne saurait être responsable des risques relatifs à l’accès internet et des risques relatifs à la transmission de données à distance par l’Utilisateur ou vers l’Utilisateur, notamment en cas de conflit opposant l’Utilisateur à son fournisseur d’accès à internet, en relation avec le caractère confidentiel/personnel des données transmises, le coût de transmission, la maintenance et interruptions des lignes téléphoniques et du réseau internet.

L’Utilisateur a la responsabilité d’utiliser les Services conformément aux exigences techniques conformément aux consignes de sécurité données par la Société.

Dans des conditions normales, les Services sont accessibles à travers la Plateforme.

L’Utilisateur doit se connecter à la Plateforme pour une période de temps limité et s’engage à se déconnecter aussitôt qu’il a terminé d’utiliser la Solution. La déconnexion à la Plateforme n’étant pas automatique, une fois connecté, l’Utilisateur reste connecté à la Plateforme jusqu’à ce qu’il procède à la déconnexion en cliquant sur l’indication déconnexion de la Plateforme.

La Société se réserve le droit de :

• Supprimer ou retirer tout Contenu ou information que la Société jugera inapproprié ;
• Sans préjudice des actions judiciaires engagées par des tiers, exercer à titre personnel toute action en justice visant à réparer les préjudices que la Société aurait personnellement subi du fait des manquements imputables aux Utilisateurs au titre des présentes CGU ;
• Avertir le cas échéant, les autorités compétentes, coopérer avec elles et leur fournir toutes les informations utiles à la recherche et à la répression d’activités illégales ou illicites, conformément à la législation en vigueur.

ARTICLE 11 : DONNÉES PERSONNELLES

• Pendant toute la durée de l’utilisation de la Plateforme, de la Solution et des Services, la Société est susceptible de collecter toute information, identifiant directement ou indirectement l’Utilisateur, nécessaire à la création d’un compte sur la Plateforme et nécessaire au bon fonctionnement de la Plateforme et de la Solution (ci-après désignée les «DonnéesPersonnelles»).

Lors de sa première connexion, l’Utilisateur consent expressément au traitement de ses Données Personnelles dans la limite d’un traitement strictement nécessaire au bon fonctionnement de la Plateforme et de la Solution.

Le renseignement des informations nominatives collectées est obligatoire. Ces informations sont nécessaires pour le traitement et pour la fourniture des Services. Le défaut de renseignements empêche le bon fonctionnement des Services proposés en ligne.

Sont notamment concernées :

• Les Données Personnelles relatives à l’identité de l’Utilisateur et notamment sa civilité, nom, prénom, adresse électronique, numéro de téléphone, adresse et code postaux ;
• Les Données Personnelles relatives à l’activité de l’Utilisateur ;
• Les Données Personnelles relatives à la navigation, collectées automatiquement par la Société et notamment l’adresse IP anonymisée, le navigateur utilisé, la durée de navigation, le système d’exploitation utilisé, la langue et les pages visualisées ;
• Les données relatives aux statistiques de visites de la Plateforme par les Utilisateurs et notamment les données de trafic et les autres données ou ressources de communication qu’utilise l’Utilisateur en accédant à la Plateforme ;

• Les Données Personnelles peuvent être collectées de manière directe lorsque l’Utilisateur les communiquent à la Société au moyen des formulaires de création de compte d’Utilisateur, de demande de contact, d’inscription à la newsletter disponible sur la Plateforme et de signalement des contenus illicites.

La Société s’accorde le droit de revoir, parcourir ou analyser les communications échangées entre la Société et les Utilisateurs, entre les Utilisateurs via la Solution à des fins de prévention des fraudes, d’évaluation des risques, de respect des règlements, d’enquête, de développement de produits, de recherche et d’assistance Utilisateurs.

Le renseignement des Données Personnelles collectées à ces fins est obligatoire et strictement nécessaire au bon fonctionnement de la Plateforme. A défaut les Services ne pourront être fournis.

• La Société utilise, stocke et traite les Données Personnelles, afin d’alimenter, comprendre, améliorer et développer la Plateforme, pour créer et maintenir un environnement de confiance avec les Utilisateurs ainsi que pour se conformer aux obligations légales lui incombant et notamment afin de :

• DéveloppementdelaPlateformeet/oudelaSolution

• Permettre aux Utilisateurs d’accéder à/utiliser la Plateforme et la Solution ;
• Permettre aux Utilisateurs de communiquer avec le personnel de la Société ;
• Gérer, protéger, améliorer et optimiser la Plateforme et/ou la Solution au travers des statistiques, analyses et études ;
• Fournir un service client adapté aux besoins des Utilisateurs ;
• Adresser aux Utilisateurs des messages d’assistance ou relatifs aux Services, mises à jour, alertes de sécurité et des notifications ;
• Dans le cadre du déroulement des actions de détection et de prévention des fraudes ;

• Créationetmaintiend’unenvironnementdeconfiancedesUtilisateurs

• Détecter et prévenir les fraudes, abus, incidents de sécurité et autres activités préjudiciables ;
• Mener des enquêtes de sécurité et des évaluations de risque ;
• Vérifier ou authentifier les informations ou identifications transmises par les Utilisateurs ;
• Respecter les obligations légales incombant à la Société ;
• Résoudre les éventuels litiges avec les Utilisateurs ;

• Fournir,Personnaliser,ÉvalueretAméliorerlapublicitéetlacommercialisationdesServices

• Envoyer des messages promotionnels, des informations commerciales et publicitaires ;
• Personnaliser, évaluer et améliorer la publicité des Services ;

• La Société peut divulguer les Données Personnelles des Utilisateurs aux tribunaux, autorités gouvernementales ou chargées de l’application de la loi ou à des tiers autorisés, si la loi l’exige ou le permet, ou si une telle divulgation est raisonnablement jugée nécessaire : (i) pour respecter les obligations légales de la Société, (ii) afin de se conformer au processus judiciaire et de donner suite aux réclamations présentées contre la Société, (iii) pour répondre à des demandes vérifiées dans le cadre d’une enquête judiciaire ou d’une activité illégale prétendue ou soupçonnée ou de toute autre activité qui peut exposer la Société, l’Utilisateur à une responsabilité légale.

• Les Données Personnelles peuvent être transmises auprès des prestataires techniques, dans la seule finalité de la bonne exécution des Services.

• Les Données Personnelles communiquées par l’Utilisateur seront détruites au plus tard six (6) mois après la fin de l’utilisation des Services par l’Utilisateur. La Société se réserve le droit de conserver certaines données afin de justifier, le cas échéant de la parfaite exécution de ses obligations contractuelles ou légales. Les données ainsi conservées seront limitées à ce que strictement nécessaire.

• Dans tous les cas, les Utilisateurs profitent d’un droit d’accès, de rectification, de modification, d’opposition, de portabilité et de suppression des Données Personnelles le concernant en écrivant à l’adresse suivante :

leah@c-clerc.fr en indiquant son nom, prénom et/ou dénomination sociale, l’adresse du domicile ou du siège social et l’e-mail.

Conformément à la réglementation en vigueur, toute demande doit être signée et accompagnée de la photocopie d’un titre d’identité portant la signature de l’Utilisateur.

Conformément à l’article 48 du règlement européen n° 2016/679 sur la protection des données, la Société n’a pas nommé de délégué à la protection des Données Personnelles (DPO).

L’Utilisateur pourra récupérer ses Données Personnelles dans un format ouvert et lisible. Le droit à la portabilité est limité aux données fournies par l’Utilisateur concerné. Il s’applique sur la base du consentement préalable de l’Utilisateur. La Société s’engage à transférer, sur demande, dans un délai d’un (1) mois, tout document de recueil des Données Personnelles à l’Utilisateur afin de pouvoir mettre en œuvre le droit à portabilité. Les frais liés à la récupération des données sont à la charge de l’Utilisateur en faisant la demande.

• La Société a la faculté de sous-traiter tout ou partie de l’exécution des Prestations dans le respect des dispositions légales en vigueur.

La Société pourra également sous-traiter les prestations d’hébergement des Données Personnelles à la condition que les Données Personnelles soient traitées par une plateforme d’hébergement localisée sur le territoire français et plus généralement, de l’Union Européenne, ce que le Client reconnaît et accepte expressément.

Le sous-traitant sera autorisé́ à traiter pour le compte de la Société les Données Personnelles nécessaires pour fournir les Prestations faisant objet des présentes CGV. Les finalités de traitements, les Données Personnelles traitées, les catégories de personnes concernées sont similaires à celles de la Société.

La Société déclare :

• Avoir remis par écrit toute instruction concernant le traitement des Données Personnelles par le sous- traitant ;
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des Données Personnelles de la part du sous-traitant ;
• Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous- traitant ; La Société s’engage à ce que le sous-traitant :
• Traite les Données Personnelles uniquement pour la ou les seule(s) finalité́ (s) qui fait/font l’objet de la sous-traitance ;
• Traite les Données Personnelles conformément aux instructions de la Société ;
• Garantisse la confidentialité́ des Données Personnelles à caractère personnel traitées ;
• Ait fait l’objet de formation nécessaire en matière de protection des Données Personnelles à caractère personnel ;
• Prenne en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données Personnelles dès la conception et de protection des Données Personnelles par défaut ;
• Informe immédiatement la Société s’il considère qu’une instruction constitue une violation du règlement européen sur la protection des Données Personnelles ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des Données Personnelles.

Le sous-traitant aidera la Société à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité́ des Données Personnelles, droit de ne pas faire l’objet d’une décision individuelle automatisée.

La Société s’engage à ce que le sous-traitant mette en œuvre :

• Des mesures de pseudonymisation et de chiffrement des Données à caractère personnel ;
• Des moyens permettant de garantir la confidentialité́ , l’intégrité́ , la disponibilité́ la résilience constante des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité́ des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité́ des mesures techniques et organisationnelles pour assurer la sécurité́ du traitement.

La Société déclare recevoir du sous-traitant toute la documentation nécessaire permettant de démontrer le respect des obligations et pour permettant la réalisation d’audits, y compris d’inspections, par la Société ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

La Société demeure seule responsable à l’égard des Clients de la réalisation des Prestations confiées à un sous-traitant.

ARTICLE 12 : UTILISATION DES COOKIES

Conformément à la délibération de la CNIL n° 2013-378 du 5 décembre 2013, la Société informe, par ailleurs, que des cookies enregistrent certaines informations qui sont stockées dans la mémoire du disque dur de l’Utilisateur. Ces informations servent à générer des statistiques d’audience.

Un message d’alerte, sous forme de bandeau, demande à l’Utilisateur, au préalable, s’il souhaite accepter les cookies.

Les Utilisateurs se rendant sur la page d’accueil ou une autre page de la Plateforme directement à partir d’un moteur de recherche seront informés :

• Des finalités précises des cookies utilisés ;
• De la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
• et du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Pour garantir le consentement libre, éclairée et non équivoque des Utilisateurs sur la Plateforme, le bandeau ne disparaitra pas tant qu’il n’aura pas poursuivi sa navigation.

Sauf consentement préalable, le dépôt et la lecture de cookies ne seront pas effectués.

ARTICLE 13 : NEWSLETTER

En fonction des choix opérés par l’Utilisateur, il pourra être destinataire de la newsletter.

En cochant la case prévue à cet effet ou en donnant expressément son accord à cette fin, l’Utilisateur accepte que la Société puisse leur faire parvenir une newsletter (lettre d’information) pouvant contenir des informations relatives aux nouvelles activités proposées par les Partenaires de la Société.

Les Utilisateurs auront la faculté de se désinscrire de la newsletter en cliquant sur le lien prévu à cet effet, présent dans chacune des newsletters (lettres d’information).

ARTICLE 14 : FORCE MAJEURE

Tout événement en dehors du contrôle de la Société et contre lequel elle n’a pu raisonnablement se prémunir constitue un cas de force majeure et suspend à ce titre les obligations des parties, comme par exemple sans que cette liste soit limitative : une grève ou une panne technique (edf, erdf, des opérateurs de télécommunications, des fournisseurs d’accès internet ou d’hébergement etc.), un arrêt de fourniture d’énergie (telle que l’électricité), une défaillance du réseau de communication électronique dont dépend la Société et/ou des réseaux qui viendraient s’y substituer.

La Société ne pourra être tenue responsable, ou considérée comme ayant failli à ses obligations prévues dans les présentes CGU, pour toute inexécution liée à un cas de force majeure tel que défini par la loi et la jurisprudence française, à la condition qu’elle le notifie à l’autre partie d’une part, et qu’elle fasse son possible pour minimiser le préjudice et exécuter au plus vite ses obligations après cessation du cas de force majeure d’autre part.

ARTICLE 15 : INTEGRALITÉ

Les dispositions des présentes CGU expriment l’intégralité de l’accord conclu entre les Utilisateurs et la Société. Elles prévalent sur toute proposition, échange de lettres antérieures et postérieures à la conclusion des présentes, ainsi que sur toute autre disposition figurant dans les documents échangés entre les parties et relatifs à l’objet des CGU, sauf avenant dûment signé par les représentants des deux parties.

ARTICLE 16 : NON RENONCIATION

Le fait que l’une des parties aux présentes CGU n’ait pas exigé l’application d’une clause quelconque, que ce soit de façon permanente ou temporaire, ne pourra en aucun cas être considéré comme une renonciation aux droits de cette partie découlant de ladite clause.

ARTICLE 17 : NULLITÉ

Si une ou plusieurs dispositions des présentes CGU sont tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou à la suite d’une décision devenue définitive d’une juridiction compétente, les autres stipulations des présentes CGU garderont toute leur force et leur portée.

Le cas échéant la Société s’engage à supprimer et remplacer immédiatement ladite clause par une clause juridiquement valide.

ARTICLE 18 : TITRES

En cas de difficulté d’interprétation entre le titre et le chapitre de l’un quelconque des articles et l’une quelconque des clauses, les titres seront réputés non-écrits.

ARTICLE 19 : ATTRIBUTION DE JURIDICTION – DROIT APPLICABLE

Les présentes CGU sont régies et interprétées conformément au droit français, sans tenir compte des principes de conflits de lois.

En cas de litige susceptible de survenir à l’occasion de l’interprétation et/ou de l’exécution des présentes ou en relation avec les présentes CGU, les parties s’engagent à faire tous leurs efforts pour résoudre de façon amiable tous les litiges auxquels les présentes CGU peuvent donner lieu.

Ainsi, en cas de litige entre un Utilisateur et la Société, les parties conviennent de négocier de bonne foi le règlement du litige. Si les parties ne parviennent pas à régler le litige après au moins trente (30) jours ouvrés de négociation, le litige sera réglé devant la juridiction ayant compétence exclusive.

Toutes les contestations, relatives notamment à la validité, à l’exécution, à l’interprétation, et/ou à la rupture des présentes CGU relèvent de la seule compétence des tribunaux du ressort du siège de la Société, sauf règles de procédure impératives contraire.

ARTICLE (o). DONNÉES PERSONNELLES

• Le sous-traitant sera autorisé́ à traiter pour le compte de la Société les Données à caractère personnel nécessaires pour fournir le ou les service(s) objet des présentes. Les finalités de traitements, les Données traitées, les catégories de personnes concernées sont similaires à celles de la Société.

La société déclare :

• avoir remis par écrit toute instruction concernant le traitement des Données par le sous- traitant ;
• veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des Données de la part du sous-traitant

;

• superviser le traitement, y compris réaliser les audits et les inspections auprès du sous- traitant ;

• Le sous-traitant s’engage à :
  • traiter les Données uniquement pour la ou les seule(s) finalité́(s) qui fait/font l’objet de la sous-traitance ;
  • traiter les Données conformément aux instructions documentées de la Société ;
  • garantir la confidentialité́ des Données à caractère personnel traitées ;
  • ce que ses salariés aient fait l’objet de formation nécessaire en matière de protection des Données à caractère personnel ;
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes

de protection des Données dès la conception et de protection des Données par défaut ;

• informer immédiatement la Société s’il considère qu’une instruction constitue une violation du règlement européen sur la protection des Données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des Données.

• le sous-traitant aidera La société à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité́ des Données, droit de ne pas faire l’objet d’une décision individuelle automatisée.

• Après accord de la Société, le sous-traitant notifiera à la CNIL, au nom et pour le compte de la Société les violations de Données à caractère personnel dans un délai de 72 heures après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Le Sous-traitant notifiera aussi la violation de Données à caractère personnel à la personne concernée dans les meilleurs délais.

La notification à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de Données à caractère personnel. Dans les deux cas, la notification contient au moins :

• la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation

et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernées ;

• le nom et les coordonnées du délégué à la protection des Données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de Données à caractère personnel ;
• la description des mesures prises ou que la Société propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

• Le sous-traitant s’engage à mettre en œuvre :

• des mesures de pseudonymisation et de chiffrement des Données à caractère personnel ;
• des moyens permettant de garantir la confidentialité́, l’intégrité́, la disponibilité́ la résilience constantes des systèmes et des services de traitement ;
• des moyens permettant de rétablir la disponibilité́ des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
• une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité́ des mesures techniques et organisationnelles pour assurer la sécurité́ du traitement.

• Au terme de la prestation de sous-traitance, le sous-traitant s’engage à à renvoyer toutes les Données à caractère personnel à la Société. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

• Le sous-traitant s’engage à tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de la Société comprenant :

• le nom et les coordonnées de la Société pour le compte duquel il agit, des éventuels sous- traitants ;
• les catégories de traitements effectués pour le compte du responsable du traitement. La Société déclare recevoir du sous-traitant toute la documentation nécessaire permettant de démontrer le respect des obligations et pour permettant la réalisation d’audits, y compris d’inspections, par la Société ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.