CONDITIONS GÉNÉRALES
CONDITIONS GÉNÉRALES
PRESTASHOP HOSTING
Mises à jour en Septembre 2024
PrestaShop est le concepteur et l'éditeur d'une solution logicielle open-source, distribuée sous licence libre (Open Software Licence OSL-3.0), permettant à ses utilisateurs de créer des sites de e-commerce.
Cette solution est accessible au téléchargement sur le site de PrestaShop xxx.xxxxxxxxxx.xxx.
Elle permet à ses utilisateurs de créer et personnaliser leur site de e-commerce et d'y ajouter des fonctionnalités, gratuites ou payantes, librement développées par la communauté PrestaShop déjà intégrés à la solution ou accessibles sur la marketplace PrestaShop.
Le bénéfice des services des présentes CGU est exclusivement réservé aux professionnels au sens du droit français de la consommation. A ce titre, il reconnaît expressément qu’il ne dispose pas du droit de rétractation dont bénéficient les consommateurs au sens du Code de la consommation.
Les présentes CGU régissent les services fournis par PrestaShop à ses utilisateurs. Elles forment, avec la Politique de protection des données à caractère personnel PrestaShop Hosting, le contrat de sous-traitance de données personnelles PrestaShop Hosting et les conditions générales d’utilisation de “xxxxxxxxxx.xxx”, la totalité des conditions d’utilisation.
PrestaShop se réserve le droit de modifier les présentes CGU à tout moment. Le cas échéant, les modifications prendront effet quinze (15) jours après leur communication.
SOMMAIRE
1. Définitions 4
2. Objet du Service 5
3. Souscription au Service 6
4. Accès et disponibilité du Service 6
5. Durée de souscription 6
6. Conditions financières 7
7. Engagements de l’Utilisateur 7
8. Engagements de PrestaShop 9
9. Résiliation 9
10. Responsabilité de l'Utilisateur 11
11. Responsabilité de PrestaShop 12
12. Droits de propriété intellectuelle 13
13. Confidentialité 14
14. Données personnelles 14
16. Cession 14
17. Force majeure 15
18. Indépendance des Parties 15
19. Loi applicable et attribution de juridiction 15
ANNEXE 1 - PRESTATIONS DE MIGRATION PAR PRESTASHOP DANS LE CADRE DU SERVICE 16
ANNEXE 2 - ENTENTE SUR LE NIVEAU DE SERVICE (SLA) 18
ANNEXE 3 - CONTRAT DE SOUS-TRAITANCE DES DONNÉES PERSONNELLES DES SERVICES PRESTASHOP HOSTING 25
1. Définitions 25
2. Objet 26
3. Durée du contrat 26
4. Description du Traitement 26
5. Obligation de PrestaShop 27
6. Obligations de l’Utilisateur 29
7. Mesures de sécurité 29
8. Responsabilités 30
Annexe 3 bis - Mesures techniques et organisationnelles 31
1. Définitions
« Addons » désigne les Modules et thèmes référencés et commercialisés au sein du Catalogue Addons.
« Back Office » désigne l'interface par laquelle le Marchand ou Prestataire technique agissant pour le compte d’un Marchand peut administrer et paramétrer son Site Marchand et notamment y ajouter des Addons.
« Bon de commande » désigne l'offre commerciale proposée par PrestaShop à l’Utilisateur pour bénéficier des présents Services.
« Conditions Générales d’Utilisation ou CGU » désigne les présentes conditions générales, y compris ses éventuelles annexes et modifications.
« Hébergeur » désigne le prestataire d’hébergement des Services.
« Marchand » désigne toute personne physique ou morale agissant à titre professionnel et exploitant un Site Marchand.
« Marketplace PrestaShop » désigne la plateforme référençant l’ensemble des Addons accessible à l'adresse : xxxxx://xxxxxx.xxxxxxxxxx.xxx (ou toute URL qui lui serait substituée).
« Modules » désigne les développements logiciels réalisés par PrestaShop ou par un Vendeur ayant pour objet d’ajouter une ou plusieurs fonctionnalités aux Sites Marchands, qu’ils soient préinstallés ou téléchargeables sur la Marketplace PrestaShop.
« Plateforme » désigne l’espace mis à disposition de l’Utilisateur lui permettant de gérer son ou ses Site(s) Xxxxxxxx(s) et notamment son hébergement.
« Prestataire technique » désigne toute personne physique ou morale agissant à titre professionnel pour le compte d’un Marchand exploitant ou souhaitant exploiter un Site Marchand.
« PrestaShop » désigne la société anonyme au capital de 580 852, 35 euros, dont le siège social est situé au 000 Xxxxxx xx Xxxxxx, x XXXXX (00000), immatriculée au RCS de Paris sous le numéro B 497 916 635.
« Serveurs » désigne l’infrastructure de l’Hébergeur mise à disposition de PrestaShop, connectée au réseau Internet et allouée à l’hébergement du Site Marchand.
« Services » désigne le(s) services présenté(s) par les présentes Conditions Générales.
« SLA (Service Level Agreement) » désigne le niveau de service que PrestaShop s’engage à apporter aux Marchand et aux éventuels Utilisateurs. Il est détaillé en Annexe 2.
« Site Marchand » désigne le site de e-commerce créé par le Marchand au moyen de la Solution ainsi que l’ensemble des données hébergées avec le Service.
« Utilisateurs » désigne toute personne physique ou morale, Xxxxxxxx, Prestataire technique agissant pour le compte d’un Marchand ou Vendeur faisant appel aux Services objet des présentes Conditions Générales.
« Support » désigne les services d’assistance technique décrits en Annexe 2.
2. Objet du Service
Le Service permet à l’Utilisateur de bénéficier, pendant toute la durée de souscription, d’un accès à la Plateforme et d’un hébergement de son ou ses Sites Marchands au sein de l’Union Européenne auprès de l’Hébergeur.
L'Utilisateur bénéficie à ce titre d’une licence d’utilisation de la Plateforme.
L'Utilisateur bénéficie également d’un Support, accessible 24h/24, 7j/7. Ce Support permet exclusivement de faciliter l’accès et l’aide à l’exploitation du Service par l'Utilisateur. Il n’est en revanche pas fourni pour pallier aux conséquences de manœuvres ou utilisations interdites par les présentes CGU ou le Bon de commande.
L’objet du Service est exclusivement de nature technique.
3. Souscription au Service
La Service est réservé aux Utilisateurs exploitant ou assurant la gestion d’un Site Marchand.
L'Utilisateur garantit que toutes les informations qu’il communique sont exactes, sincères et à jour.
Chaque souscription au Service est propre à l’URL du Site Marchand indiqué sur le Bon de commande.
La souscription est effective lorsque l’Utilisateur a signé le Bon de commande et renseigné une méthode de paiement. PrestaShop procède alors à la création d’un compte et fournit à l’Utilisateur l’identifiant et le mot de passe lui permettant d’accéder au Service.
4. Accès et disponibilité du Service
Le Service est rendu accessible par PrestaShop dans un délai maximum de trente (30) jours à compter de la remise par l'Utilisateur des éléments tels que détaillés en Annexe 1.
PrestaShop fournira ses meilleurs efforts pour rendre le Site Marchand accessible, 7 jours sur 7 et 24 heures sur 24 et selon les engagements spécifiés par le SLA en Annexe 2.
L'accès au Serveur peut néanmoins être fermé par l'Hébergeur afin d'assurer la maintenance des matériels et logiciels nécessaires à l'Hébergement du Site Marchand.
PrestaShop informe l'Utilisateur par courrier électronique au moins 24 heures avant toute interruption d'accès au Serveur.
En clair,
Le Service est accessible dans un délai de trente jours à compter de sa souscription par l’Utilisateur. PrestaShop fourni ses meilleurs efforts pour rendre le Site Marchand accessible 7/7 jours et 24/24h.
L’accès peut être suspendu par l’Hébergeur pour assurer la maintenance du Service. L’Utilisateur en sera averti 24 heures à l’avance.
5. Durée de souscription
La durée de souscription au Service est indiquée dans le Bon de commande et commence à courir à compter de la livraison de l’instance.
A l’issue de la durée initiale de souscription, l’abonnement est reconduit tacitement pour la même durée.
6. Conditions financières
6.1 Paiement du Service
Le prix de l’abonnement au Service est indiqué dans le Bon de commande. Il s’entend toutes taxes comprises et est payable en euros.
Le paiement se fait par prélèvement mensuel. La première mensualité est prélevée 30 jours après la date de souscription effective, l’Utilisateur sera ensuite prélevé tous les mois à l’anniversaire de la date de souscription.
Chaque mois commencé est dû et ne pourra pas faire l’objet d’un remboursement.
6.2 Révision du prix
PrestaShop se réserve la possibilité de réviser le prix du Service au maximum 2 fois par an et dans la limite de 10% du prix HT pour chaque augmentation.
Le cas échéant, PrestaShop informe l'Utilisateur de la révision au moins 30 jours avant l’entrée en vigueur du nouveau prix. A compter de cette information, l’Utilisateur peut demander la résiliation du Service sans pénalité pendant 2 mois, à défaut de résiliation l’Utilisateur est réputé avoir accepté le nouveau prix.
En clair,
Le paiement se fait par prélèvement mensuel. La première mensualité est prélevée 30 jours après la date de souscription effective, l’Utilisateur sera ensuite prélevé tous les mois à l’anniversaire de la date de souscription.
Chaque mois commencé est dû et ne peut pas faire l’objet d’un remboursement.
PrestaShop peut réviser le prix du Service jusqu’à 2 fois par an et au maximum jusqu’à 10% du prix pour chaque augmentation. L’Utilisateur est informé 30 jours à l’avance du changement et peut résilier le Service.
7. Engagements de l’Utilisateur
L'Utilisateur s’engage à :
- fournir des données exactes et à jour ;
- assurer la confidentialité de ses identifiants et codes d’accès à la Plateforme. A ce titre, il est donc invité à modifier, dès son premier accès au Service, le mot de passe associé à son identifiant par défaut.
- sécuriser l’application hébergée et toutes les installations ou configurations qu’il réalise sur son Site Marchand (tel que notamment, l’installation des Addons).
En cas de défaillance de sécurité liée notamment à une faille applicative ou au détournement de codes d’accès, l'Utilisateur doit déployer sans délai tous les moyens nécessaires pour corriger la faille de sécurité et doit en informer PrestaShop concomitamment afin de remédier à la faille de sécurité.
Il appartient à l’Utilisateur de gérer la capacité de stockage à laquelle il a souscrit afin d’assurer l’adéquation de cette capacité au volume de données à stocker. L'Utilisateur est également informé du fait que s’il décide de supprimer des fichiers, cette suppression est définitive et les fichiers ne pourront lui être restitués.
Par ailleurs, l'Utilisateur s'engage à n'utiliser le Service qu'à des fins licites et conformes à l'ordre public et aux bonnes mœurs. Il s’engage également à faire respecter à ses Prestataires techniques ou salariés les mêmes obligations.
A ce titre, l’Utilisateur final s’interdit de :
- copier, xxxxx, louer à bail, vendre, transférer, assigner, sous-concéder en licence, désassembler, étudier par ingénierie inverse ni décompiler (sauf dans la mesure limitée expressément permise par la législation applicable), modifier ou altérer de quelque manière que ce soit tout ou partie de la Plateforme ;
- entreprendre toute action visant à introduire un virus, ver, défaut, cheval de Troie, logiciel malveillant ou autre élément de nature destructrice sur la Plateforme ;
- utiliser la Plateforme d'une manière susceptible d'occasionner des nuisances, dommages ou pertes pour quiconque, ou nuire, diffamer, abuser, harceler ou menacer autrui de quelque manière que ce soit ni encourager un tiers à de telles conduites ;
- utiliser la Plateforme de quelque manière que ce soit susceptible d'enfreindre quelconque loi ou réglementation, ou un quelconque droit de tiers, y compris mais sans s'y limiter, droits de propriété intellectuelle, droits à la vie privée, et/ou droits à la confidentialité, ou autrement susceptible de nuire à PrestaShop.
L'Utilisateur ne tentera pas d’accéder aux zones systèmes privées de PrestaShop ni à d’autres zones de la Plateforme auxquelles il n'est expressément pas autorisé à accéder.
L'Utilisateur s’oblige à souscrire auprès d’une assurance notoirement solvable, une assurance responsabilité civile professionnelle couvrant les risques liés à l’utilisation du Service pendant toute la durée d’utilisation des Services. L'Utilisateur s’engage à fournir à PrestaShop ladite assurance sur simple demande.
En clair,
L’utilisateur doit fournir des données exactes et en assurer la confidentialité. Il s’assure de la capacité de l’adéquation du volume de données stockées par rapport à la capacité de stockage auquelle il a souscrite.
L’Utilisateur s’engage à utiliser le Service et la Plateforme de manière licite et conforme aux réglementations, à ce titre il s’interdit d’accéder à des zones systèmes non autorisées.
L’utilisateur s’engage à souscrire une assurance responsabilité civile professionnelle. Cette dernière peut être demandée par PrestaShop à tout moment.
8. Engagements de PrestaShop
Pendant toute la durée de souscription, PrestaShop s’engage à fournir le Service et à conserver les données de l'Utilisateur dans la limite du volume de stockage stipulé dans le Bon de commande.
PrestaShop s’engage en outre à prendre toutes mesures utiles afin de garantir à l'Utilisateur que les données stockées sur les Serveurs ne sont pas accessibles aux tiers.
PrestaShop garantit que l’Hébergeur :
- met en place toutes les procédures de sécurité nécessaires pour limiter les accès à ses installations et les intrusions dans le Serveur ;
- procède régulièrement à des contrôles de conformité du Serveur, dont il vérifiera les accès physiques et logiques et qu’il corrige sans délai toute anomalie rencontrée.
Les caractéristiques des infrastructures techniques de l’Hébergeur peuvent changer sous réserve que ces modifications permettent d'offrir des performances au moins équivalentes à celles fournies au moment de la signature des présentes.
Dans le cas où XxxxxxXxxx ne respecterait pas les niveaux de performance du SLA, l'Utilisateur peut réclamer les pénalités prévues dans ce dernier et uniquement sous la forme d’avoir, à l’exclusion de tous dommages-intérêts, retenues ou annulations des prestations en cours. Ces pénalités ne seront pas dues par PrestaShop dans le cas où ce non-respect résulterait d’une mauvaise manipulation, d’une erreur ou d’une action fautive imputable à l'Utilisateur, à ses préposés, sous-traitants ou cotraitants.
Il est entendu que ces engagements s’appliquent aux Sites Marchands, PrestaShop ne supportant aucun engagement quant à l’application ou le support pour les sites internet développés avec un système de gestion de contenu (CMS) différent de la Solution.
En clair,
PrestaShop s’engage à fournir le Service et conserver les données de manière sécurisée
pour le volume de stockage souscrit.
Prestashop garantit que l’Hébergeur a mis en place les mesures techniques nécessaires pour garantir la sécurité et la conformité des Serveurs.
Enfin, dans le cas où XxxxxxXxxx ne respecte pas les niveaux de SLA pour des raisons qui lui sont imputables, l’Utilisateur peut réclamer les pénalités prévues dans ce dernier (sous forme d’avoir).
9. Résiliation
9.1 Résiliation pour convenance
A l’issue de la période de souscription, le Service est reconduit tacitement pour la même durée. Les parties peuvent résilier le Service en informant l’autre partie par courrier électronique ou postal à l’adresse indiquée dans le Bon de commande adressée deux mois avant l’échéance de la période de souscription en cours.
En cas de résiliation ultérieure au délai, la résiliation du Service interviendra à la fin de la période de souscription en cours. Par conséquent, la période suivant la notification de la résiliation du Service sera considérée comme échue et n’ouvrira droit à aucun remboursement au profit de l'Utilisateur.
En clair,
Le Service est renouvelé tacitement pour la même période que celle de souscription. PrestaShop ou l’Utilisateur peut résilier par notification écrite envoyée deux mois avant le renouvellement de la souscription à l’autre partie. La résiliation prend fin à la fin de la période en cours.
9.2 Résiliation pour manquement
L'Utilisateur reconnaît que XxxxxxXxxx peut suspendre le Service et/ou résilier la souscription de l'Utilisateur avec effet immédiat sans mise en demeure préalable et sans préavis, du fait d’un manquement grave de l'Utilisateur et notamment en cas de :
- non-respect des informations mentionnées sur le Bon de commande,
- défaut de mise en conformité après sommation de l'Utilisateur, de la forme et/ou du contenu du Site hébergé sur la Plateforme,
- non paiement du Service et des factures,
- plus généralement, toute violation des présentes CGU.
La résiliation du Service pour manquement n’ouvre droit à aucun remboursement au profit de l'Utilisateur pour la période de souscription au Service restant éventuellement à courir.
En clair,
PrestaShop peut suspendre ou résilier le Service avec effet immédiat en cas de non
respect par l’Utilisateur des informations du Bon de commande, d’un défaut de conformité du Site Marchand ou toute violation des présentes CGU. A ce titre, la résiliation n’ouvre pas droit à un remboursement de la période restant à courir.
9.3 Fin des Services
À la fin des Services, pour quelque cause que ce soit, l'Utilisateur se charge de la migration des données du Site Marchand hébergé sur la Plateforme sur tout autre serveur de son choix. A ce titre, la migration du Site Marchand se fait aux frais de l’Utilisateur.
L'Utilisateur est informé qu’une sauvegarde de la base de données du Site Marchand ainsi que l'ensemble des fichiers présents sur l'environnement de production (hors cache et fichiers en dehors du root directory du serveur de production) sont disponibles pendant trente
(30) jours calendaires suivant la résiliation du Service.
A l’issue de ce délai, PrestaShop détruit les serveurs, documents et bases de données hébergées dans le cadre des Services.
En clair,
En cas de résiliation pour toute cause, l’Utilisateur se charge de la migration des données de son Site Xxxxxxxx. PrestaShop conserve une sauvegarde de la base de données du Site Marchand pendant 30 jours suivant la résiliation, après cette période toute information, données et serveurs sont détruits.
10. Responsabilité de l'Utilisateur
L'Utilisateur est seul responsable de la gestion, notamment commerciale, logistique, marketing et financière de son Site Marchand ainsi que de toutes les données stockées sur le Site Marchand et auxquels PrestaShop demeure totalement étranger.
La migration du Site Marchand et des données sur la Plateforme est assurée exclusivement par l’Utilisateur. Il peut toutefois solliciter PrestaShop pour effectuer la migration du Site Marchand, dans les conditions décrites en Annexe 1.
Par ailleurs, en cas de notification reçue par PrestaShop de la part d’un tiers sur le fondement de l’article 6-I-2 de la loi n°2004-575 du 21 juin 2004 de confiance en l’économie numérique sollicitant de PrestaShop le retrait d’un contenu du Site Marchand hébergé sur les Serveurs, l'Utilisateur s’engage à répondre dans un délai maximum de 24 heures à réception de la notification par PrestaShop. A défaut de réponse écrite de l'Utilisateur dans ce délai, PrestaShop se réserve le droit de suspendre provisoirement ou définitivement le contenu litigieux sans que sa responsabilité ne puisse être engagée.
L'Utilisateur est seul responsable :
- de l’usage qu’il fait de la Solution et s’engage à utiliser cette dernière dans le respect de l’ordre public et des bonnes mœurs ainsi qu’à respecter la législation qui lui est applicable
;
- des contenus hébergés et diffusés sur son Site Xxxxxxxx ;
PrestaShop ne saurait en aucun cas être tenu responsable de la légalité des contenus hébergés et diffusés par l'Utilisateur et n’est pas tenu de vérifier la conformité à la législation du contenu du Site Marchand. Toute infraction à la loi découlant directement ou indirectement de l’exploitation d’un Site Marchand est de la seule responsabilité de l'Utilisateur.
PrestaShop peut interrompre l’accès ou résilier les Services si elle constate une infraction à la loi ou reçoit une réquisition de l’autorité publique, une demande en justice ou une réclamation de tiers qui, selon PrestaShop, peuvent être suffisamment sérieuses et justifiées.
Par ailleurs, PrestaShop se réserve le droit (i) de procéder à des opérations de surveillance ciblées et temporaires relatives à l’utilisation du Service ; (ii) d’interrompre l’accès et/ou résilier le Service en cas de manquement de la part de l'Utilisateur aux obligations définies au présent article et (iii) d’interrompre l’accès au Service en cas de faille technique, de déni de service ou de fraude sur le Site Marchand ou la Plateforme.
L'Utilisateur sera par ailleurs pleinement responsable de tout dommage subi de ce fait par lui-même, XxxxxxXxxx ou toute autre personne.
En clair,
L’Utilisateur est seul responsable de la migration de son Site Xxxxxxxx et de la gestion de ce dernier.
Il est responsable de la conformité de son Site Marchand ainsi que des contenus hébergés sur ce dernier à la réglementation. PrestaShop se réserve le droit d’effectuer des opérations de surveillance relative à l’utilisation des Services et de suspendre ou résilier les Services si elle constate une infraction.
L’utilisateur est responsable de tout dommage subi par lui-même, XxxxxxXxxx ou tout tiers à ce titre.
11. Responsabilité de PrestaShop
La responsabilité de PrestaShop est limitée à la fourniture du Service.
La responsabilité tant de PrestaShop que de l'Hébergeur ne saurait être engagée si le Serveur mis à disposition par ce dernier était indisponible pour des raisons de force majeure, incluant notamment la défaillance de longue durée du réseau public de distribution d'électricité, la défaillance du réseau public des télécommunications, la perte de connectivité Internet dues aux opérateurs publics et privés dont dépend l'Hébergeur.
En tout état de cause, PrestaShop ne saurait être tenue pour responsable :
- des conséquences directes ou indirectes dues à la défectuosité des biens, installations et équipements appartenant à l'Utilisateur ou dont celui-ci a la garde ou la responsabilité, autre que le Service fourni par XxxxxxXxxx ;
- au titre du contenu des Données hébergées. L'Utilisateur s’engage à relever et garantir PrestaShop contre toute réclamation de quelque nature que ce soit qui pourrait lui être adressée relativement au contenu des Données ;
- de toute altération de Données dues à l’intervention d’un tiers dans le réseau de l'Utilisateur susceptible d’interférer sur la collecte et le transfert des Données ;
- en dehors de ce qui relève du contrôle de PrestaShop, de toute intrusion de tiers dans le système de l'Utilisateur, ni des conséquences directes ou indirectes d’une telle intrusion, ni de toute faute, négligence, ou acte quelconque de l'Utilisateur ou de tiers ;
- d’un éventuel préjudice subi par l'Utilisateur résultant d’un accès frauduleux aux Données par un tiers en possession de l’identifiant et du mot de passe associé de l'Utilisateur.
- en cas de modification par l'Utilisateur de son environnement informatique.
De manière générale et de convention expresse, la responsabilité de PrestaShop est limitée aux seuls dommages directs résultant de sa négligence prouvée. Les dommages indirects tels que, sans que cette liste soit limitative : perte d’exploitation, préjudice commercial, perte de clients, perte de commande, perte de marge, manque à gagner, préjudice d'image de marque, conséquences du recours de tiers et autres, sont expressément exclus.
En clair,
PrestaShop est responsable de la fourniture du Service à l’exclusion de cas de force majeure.
PrestaShop ne peut être tenue responsable des conséquences d’une défectuosité des installations, des données hébergées, des intrusions de tiers dans les réseaux de l’Utilisateur ou de modification de l’Utilisateur de son environnement informatique.
De manière générale, la responsabilité de PrestaShop est limitée aux dommages directs résultant exclusivement d’une faute de PrestaShop.
12. Droits de propriété intellectuelle
12.1 Absence de cession des droits de propriété intellectuelle
L’utilisation des Services n'entraîne aucun transfert de propriété entre les parties. PrestaShop et l’Utilisateur n’ont aucun droit sur les marques et signes distinctifs de l’autre partie.
En conséquence, l’Utilisateur s'interdit de porter atteinte de quelque façon que ce soit aux droits de propriété intellectuelle détenus par PrestaShop, notamment relatif aux textes, photos, vidéos, données, affiches, logos, marques et autres éléments reproduits sur les sites internets de PrestaShop et ses services.
L’utilisation de la marque PrestaShop dans un nom de domaine par l’Utilisateur est strictement interdite. L’Utilisateur s’engage donc à ne pas utiliser la marque déposée PrestaShop au sein du nom de domaine et de l’URL de son Site Xxxxxxxx.
12.2 Droits de propriété intellectuelle du Site Marchand
L'Utilisateur est seul propriétaire du contenu du Site Marchand.
A l’expiration du Service, PrestaShop restitue à l'Utilisateur l'ensemble des éléments lui appartenant ainsi que les éventuelles copies de sauvegarde du Site Marchand.
En clair,
PrestaShop reste titulaire de toutes les marques et logos qu’elle détient. L’Utilisateur n’est pas autorisé à les utiliser, notamment dans des communications,
publicités ou les enregistrer dans un nom de domaine. L’Utilisateur peut utiliser le nom de PrestaShop pour effectuer des références commerciales.
L'Utilisateur est seul propriétaire du contenu du Site Marchand.
13. Confidentialité
Sous réserve de l’Article « Données à caractère personnel », PrestaShop et l’Utilisateur s'engagent mutuellement à garder confidentiels toutes informations et travaux fournis à l’autre partie dans le cadre des Services, et s’engagent à ne pas les divulguer à un tiers quelconque, autre que des employés ou agents ayant besoin de les connaître, et à n’utiliser ces informations qu’à l’effet d’exécuter leurs obligations respectives aux termes des CGU.
Ils s’engagent par ailleurs à faire respecter cette obligation par leur personnel, sous-traitant ou tout tiers qui pourrait intervenir dans l’exécution des Services.
L’obligation de confidentialité demeure en vigueur pendant toute la durée des Services et pendant une période de 2 ans après la résiliation du Service pour quelque cause que ce soit.
14. Données personnelles
Les informations relatives à la collecte et au traitement des données à caractère personnel sont détaillées dans la Politique de protection des données à caractère personnel jointe aux présentes CGU.
Afin de fournir les Services, PrestaShop est amené à traiter des données au nom et pour le compte de l'Utilisateur. Pour cet effet, les parties détaillent dans le Contrat de sous-traitance de données personnelles présenté en Annexe 3 les traitements effectués dans le cadre des Services.
15. Non sollicitation du personnel
L’Utilisateur s’engage à ne pas faire de proposition d’embauche ou embaucher, directement ou indirectement, un membre du personnel de PrestaShop pendant toute la durée des Services et pendant une période d’un (1) an à compter de la fin de leur fourniture.
En cas de non-respect de cette clause, l’Utilisateur s’engage à verser à PrestaShop une indemnité forfaitaire correspondant à deux années de rémunération de chaque membre du personnel débauché.
16. Cession
L'Utilisateur reconnaît que la souscription au Service est exclusivement personnelle et ne saurait faire l’objet d’une quelconque cession à titre gratuit ou onéreux.
Afin d’assurer la bonne exécution des obligations mises à sa charge par les présentes CGU, PrestaShop se réserve la possibilité de céder, transférer ou apporter à un tiers, tout ou partie des présentes ou de substituer un tiers pour tout ou partie de leur exécution.
17. Force majeure
PrestaShop peut suspendre les Services en cas de survenance d’un fait indépendant de sa volonté, d’un cas de force majeure tel que défini par la jurisprudence des tribunaux français, ou du fait d’un tiers.
18. Indépendance des Parties
Les parties demeurent indépendantes l’une de l’autre. Aucune stipulation des présentes CGU n’a pour objet ou pour finalité de créer un quelconque partenariat, mandat, représentation ou de subordination entre PrestaShop et l’Utilisateur.
19. Loi applicable et attribution de juridiction
Les présentes CGU sont soumises à la loi française.
Tout litige pouvant résulter de l’interprétation ou de l’exécution des présentes CGU sera soumis, préalablement à toute procédure judiciaire, à la médiation d'un médiateur désigné par la partie la plus diligente. Si la médiation n'aboutit pas, le litige sera soumis à la compétence exclusive du Tribunal de commerce de Paris.
ANNEXE 1 - PRESTATIONS DE MIGRATION PAR PRESTASHOP DANS LE CADRE DU SERVICE
Migration du Site Web sur le Serveur de l’Hébergeur
La prestation de migration comprend :
● la modification des paramètres de connection à la base de données,
● la correction des URLs du site en base de données,
● l’importation du contenu du Site Marchand dans un système de versionning,
● l’importation des données corrigées dans la base Prestashop Hosting,
● l’importation du contenu du site sur les environnements Prestashop Hosting convenus entre les Parties,
● le test de la viabilité du site,
● l’ accompagnement basculer le Site Marchand en production,
La prestation de migration ne comprend pas :
● les développements spécifiques que souhaite ajouter l'Utilisateur,
● la création d'une charte graphique ou d'un thème,
● les installations de Modules complémentaires,
● la résolution d’anomalies sur des Modules,
● le support sur des anomalies,
● les déplacements sur Site Marchand,
● les audits de Site Marchand sauf dans le cadre d’options souscrites (audit de performance et audit SEO),
● les réponses aux questions fonctionnelles sur l'utilisation de la Solution.
Cette liste est non exhaustive.
Prérequis
Pour la réalisation de la migration, l'Utilisateur devra fournir préalablement à PrestaShop les éléments suivants :
- accès Back-office (obligatoirement : URL admin, login et mot de passe),
- accès à la base de données
- accès aux sources
- accès aux sources du site
- accès ssh Root au serveur de production du client
- Liste des outils tiers auxquelles la boutique doit se connecter (par exemple ERP)
Modalités de la migration
Il appartient à l'Utilisateur de procéder aux modifications et sauvegardes préalables qui lui seraient nécessaires avant la migration.
L'Utilisateur est informé que la migration peut entraîner une indisponibilité de son Site Marchand pendant la durée de la migration.
La prestation de migration est réalisée du lundi au vendredi, de 9 heures à 17 heures (heure française) et à l’exclusion des jours fériés.
PrestaShop s’engage à communiquer à l'Utilisateur le rapport réalisé avant la migration définitive du Site Marchand. La validation du rapport par l'Utilisateur auprès des équipes de PrestaShop est une condition préalable à la migration définitive.
L'Utilisateur reconnaît que lors de la validation du rapport, le Site Marchand sera migré tel quel et l’accepte en l’état. En conséquence, PrestaShop ne pourra pas être tenu responsable des dysfonctionnements ou modifications qui interviendraient postérieurement à la migration définitive.
ANNEXE 2 - ENTENTE SUR LE NIVEAU DE SERVICE (SLA)
1. Objet de cette annexe
PrestaShop met à disposition des Utilisateurs des ressources comprenant :
- tous les fichiers système qui sont nécessaires pour exécuter la technologie dans l’application, tels que la bibliothèque système et les outils système ainsi que un ou plusieurs équipement(s) matériel (serveurs cloud) (ci-après la “Couche de base”)
- et une “Couche Service” spécialement conçue et optimisée pour héberger et faire évoluer des Sites Marchands réalisés avec la Solution (la “Plateforme”). La Couche Service contient tous les fichiers qui font partie de la technologie utilisée. Par exemple, les fichiers MySQL ou Apache.
Cette Plateforme permet aux Utilisateurs de bénéficier d’un hébergement de leur Sites Marchands auprès d’un hébergeur professionnel, selon le niveau de service décrit dans le présent SLA.
Sont exclus des Services, la gestion et le suivi de la couche « Application client » contenant tous les fichiers de code, le contenu ajouté ou généré par l’application client et les Addons installés par le Client.
Par exemple : fichiers PhP Symfony ou fichiers NodeJS.
Il incombe à l'Utilisateur ou à son fournisseur de logiciels de maintenir et de compléter le code et les fichiers de l’Application client.
Cette annexe décrit l’accord de niveau de service (« SLA ») convenu entre PrestaShop et l'Utilisateur. Il comprend également les processus, les rôles et les responsabilités des entités impliquées dans la prestation du Service.
2. Vue d’ensemble des services inclus
2.1 Disponibilité du Service et pénalités de non respect
Disponibilité : la disponibilité de la Couche de base et de la Plateforme est mesurée et surveillée sur une base mensuelle. La disponibilité se limite aux services payants.
Le temps moyen de réparation (« TMDR », ou « Objectif temps de récupération (OTR) ») est le temps moyen entre la détermination d’un incident et la résolution d’un incident. Cela comprend à la fois les incidents individuels et la reconstruction complète d’un environnement.
L’objectif de point de récupération (OPR) est défini par la planification de la continuité de l’activité. Il s’agit de la période maximale ciblée de perte de données à la suite d’une erreur.
Engagements sur la disponibilité de la Couche de base et de la Plateforme :
Niveau de service | |
Disponibilité | 99,9% |
Temps moyen de réparation | 2 heures * |
Objectif de point de récupération | 24 heures |
* Jours ouvrables (du lundi au vendredi), week-ends et jours fériés inclus
Dans le cas où Prestashop ne répondrait pas au SLA défini, le régime de remboursement suivant s’applique :
A = (L - P)
% sous cible | Crédit à appliquer sur la facture mensuelle suivante |
A ≤ 0.5% | 5% |
0.5% < A ≤ 1% | 10% |
1% < A ≤ 2.5% | 15% |
2.5% < A ≤ 5% | 25% |
5% < A | 50% |
A = Départ de la disponibilité du service tel que stipulé ci-dessus L = La disponibilité du service tel que stipulé ci-dessus
P = Le pourcentage réel de disponibilité
Il est précisé que le crédit accordé ne dépasse jamais 50% du prix de l’abonnement au Service.
2.2 Support
Pour bénéficier du Support, l'Utilisateur doit détenir un compte Prestashop Account ou PrestaShop Addons.
Afin d’offrir un support optimal, PrestaShop distingue le support « critique » et le support « non critique » :
- le support critique comprend toutes les problématiques qui interfèrent avec le bon fonctionnement de la Plateforme et nécessitent une attention immédiate pour son fonctionnement. Cela inclut le dysfonctionnement de l’infrastructure cloud, du réseau et des systèmes d’approvisionnement qui conduisent à une interruption avérée des Services. Ces services sont surveillés 24 heures sur 24, 7 jours sur 7. Dans le cas où une erreur est
détectée, des mesures correctives seront prises immédiatement.
- le support non critique désigne toutes les autres questions comprenant toutes les questions liées à l’utilisation des services offerts, la prise en charge logicielle (couche liée à l'hébergement), les modifications de configuration (pas nécessaires pour résoudre les problèmes critiques).
Tout Support doit être demandé exclusivement à l’adresse : xxxxx://xxxxxxx.xxxxxxxxxx.xxx/ et peut être demandé 24h/24, 7 jours sur 7, pour toutes les demandes de support.
L'Utilisateur ouvre des tickets au travers de la plateforme de Support en sélectionnant la catégorie “PS Hosting”.
Selon la criticité de la demande, les modalités de prise en compte des demandes diffèrent comme suit :
Premium Support | |
Support critique | |
Heures de support | 9h/18h * |
Temps de réponse | < 1 heure* |
# de tickets (erreur de plateforme) | Illimité |
# de tickets (erreur de l'Utilisateur) | 3 tickets par mois par projet (avec facturation au temps passé si davantage de tickets ou si temps alloué dépassant 1 heure) |
TMDR | 2 heures* pour toute indisponibilité liée à la Couche de base |
Objectif du point de récupération | 24 heures |
Support non critique | |
Heures de support | 10x5** |
Temps de réponse | < 3 jours ouvrables** |
# de tickets (erreur de plate-forme) | Illimité |
# de tickets (erreur de l'Utilisateur) | 3 tickets par mois par projet(avec facturation au temps passé si davantage de tickets ou si temps alloué dépassant 1 heure) |
* Tous les jours du lundi au vendredi
**Jours ouvrables (du lundi au jeudi) de 9h00 à 18h00 CET et le vendredi de 9h00 à 16h00 CET, à l’exception des jours fériés
Prise en charge par le Support |
Problèmes d’installation et de configuration |
● Questions sur la compatibilité lors de l’installation de dépendances au niveau de la couche service, ● Meilleures pratiques pour la configuration des dépendances d’application prises en charge, ● Questions générales sur les couches matérielles et services liées à la plateforme. |
Dépannage |
● Identification des problèmes qui empêchent une application système de fonctionner sur la Plateforme d’hébergement, à l’exclusion des problèmes liés à l'applicatif de la Solution ou toute fonctionnalité additionnelle à la Solution; ● Fournir des solutions aux problèmes connus, ● Répondre aux questions générales des Utilisateurs et faire référence à la documentation, ● Résoudre des problèmes pour les logiciels de la couche Service pris en charge qui affichent un comportement irrégulier ou incorrect, par exemple la défaillance d’un serveur de base de données ou d’un Serveur. |
Non pris en charge par le Support |
● Débogage général des applications Utilisateur, ● Modification de la plateforme pour supporter des applications ou dépendances d’applications non supportées, ● Réécriture du code d’application pour la compatibilité avec la plateforme, ● Modification et/ou correction de logiciels tiers ou Open Source pour la compatibilité avec la plateforme. |
2.3 Gestion des incidents, des problèmes et du changement
Un incident est défini comme une interruption imprévue ou une réduction de la qualité d’un Service (interruption de service). L’objectif du processus de gestion des incidents est de rétablir le fonctionnement normal de l’exploitation du Service selon l’échéancier tel que défini dans le présent SLA. Le « fonctionnement normal du service » est défini comme un service dans les limites du SLA.
Un problème est défini comme la cause d’un ou plusieurs incidents. La cause est habituellement inconnue au moment où un problème est enregistré et Prestashop est tenu de faire une enquête plus approfondie.
Gestion du changement
La « gestion du changement » est responsable de la gestion des processus de changement
impliquant des changements tels que :
● Fonctionnalité de la Plateforme non encore disponible dans l’interface utilisateur,
● Implémentations spécifiques du réseau,
● Correctifs et logiciels spécifiques à l'Utilisateur,
● Les équipes Prestashop en charge de la plateforme évalueront la pertinence des différents changements remontés avant éventuelle mise en œuvre.
Processus
En cas d’incident, l'Utilisateur doit créer un ticket et fournir :
- tous les renseignements pertinents sur l’impact commercial,
- tous les éléments techniques ou fonctionnels permettant à PrestaShop de reproduire l'incident ou mener des investigations,
- l’importance de l’incident signalé pour s’assurer que l’incident est correctement classifié.
Avec ces informations, l’équipe de support intervient pour le suivi.
Pendant tout le processus de résolution, le billet d’incident est mis à jour avec des informations d’état. L'Utilisateur est informé de ces mises à jour via des notifications e-mail générées automatiquement.
Suivi et interventions
Un système de monitoring étendu est en place pour garder une trace de tous les aspects critiques de la Plateforme d’hébergement. En cas de problèmes techniques, les personnels techniques nécessaires sont automatiquement informés des interventions, 24 heures sur 24, 7 jours sur 7.
Surveillance du système
La liste suivante est un résumé des paramètres du système activement surveillés et suivis : bandwidth, cpu context switches, cpu load, cpu frequency, disk io, dns resolution, system interrupts, disk io latencies, kernel version, system load, container status, memory usage, network connectivity, time synchronization, memory paging, process count, swap usage, number of network connections, threads, uptime, connexion au système Client, zombie processes..
Surveillance des applications
Des éléments spécifiques sont surveillés en plus en fonction de la technologie utilisée.
Par exemple : performances de base de données, demandes de page, consommation de mémoire d’application, ratios cache-hit.
Le temps de réponse cible pour chaque événement de surveillance qui nécessite une intervention manuelle d’un technicien selon le SLA.
2.4 Back-ups
Les Back-ups sont proposés selon les modalités suivantes :
Backup | Détail |
Fréquence | 1x / day |
Durée de sauvegarde | Quotidiennement : jusqu'à 7 jours Hebdomadaire : jusqu'à 1 mois |
Nombre | 11 backups (7 x 1 + 4 x 1) |
Période | 24/7 |
2.5 Mises à jour logicielles
Les mises à jour des serveurs web ou le patching incluent toutes les tâches pour s’assurer que tous les systèmes restent protégés contre les failles de sécurité.
La Plateforme est mise à jour tous les 3 mois, avec un minimum de temps d’arrêt. Les correctifs critiques sont appliqués dans les 24 heures.
Mises à jour des serveurs et des conteneurs
Les conteneurs contenant des applications ou des données clients, se composent de 3 couches :
- La couche de base contient tous les fichiers système qui sont nécessaires pour exécuter la technologie dans l’application, tels que la bibliothèque système et les outils système. La couche de base de chaque conteneur sera mise à jour au moins une fois tous les trois mois avec les derniers correctifs stables et tous les correctifs de sécurité. Dans le cas de corrections de bogues critiques ou de correctifs de sécurité, la couche de base est mise à jour dans les 24 heures.
- La couche service contient tous les fichiers qui font partie de la technologie utilisée. Par exemple, les fichiers MySQL ou Apache. La couche service de chaque conteneur est mise à jour au moins une fois tous les trois mois avec les derniers correctifs stables et les correctifs de sécurité. Dans le cas de corrections de bogues critiques ou de correctifs de sécurité, la couche de base est mise à jour dans les 24 heures.
- La couche application client contient tous les les fichiers de code et le contenu ajouté ou généré par l’application client ou client. La couche Application client est exclue des mises à jour.
Par exemple : fichiers PhP Symfony ou fichiers NodeJS. Il incombe à l'Utilisateur de maintenir et de compléter le code et les fichiers de l’Application client.
Politique de patching selon la couche service concernée
Patching process | Couche concernée |
L'Utilisateur est responsable de la maintenance du code de l’application (ex : patches pour le framework Symfony) | Application de l'Utilisateur (code, données) |
Patching automatique tous les 3 mois Patchs de sécurité critique dans les 24h | Couche technologique (Apache, MySQL, …) |
Patching automatique tous les 3 mois Patchs de sécurité critique dans les 24h | Couche de base (système de fichiers) |
Mises à jour de l’application
Le patching d’application est de la responsabilité de l'Utilisateur. Prestashop n’effectue aucune mise à jour ou validation sur la configuration de l’application de l'Utilisateur. Cela inclut tous les codes d’application et frameworks qui ont été livrés ou créés par l'Utilisateur ou son fournisseur d’applications.
2.6 Sécurité
La Plateforme est conçue pour protéger les Utilisateurs contre les menaces grâce à :
● l’implémentation de contrôles de sécurité sur chaque couche, de l’hôte (physique ou virtuel) à l’application,
● l’isolation des applications client et des données client,
● La possibilité d’effectuer rapidement des mises à jour de sécurité sans interaction avec l'Utilisateur ou interruption minimale de service.
Techniquement, cela se traduit par :
● un isolement des données clients;
● un isolement du trafic réseau;
● un isolement des processus;
● une gestion du trafic d’entrée et d’évacuation par des nœuds distincts.
ANNEXE 3 - CONTRAT DE
SOUS-TRAITANCE DES DONNÉES PERSONNELLES DES SERVICES PRESTASHOP HOSTING
Le présent contrat de sous-traitance relatif au traitement de données personnelles dans le cadre des Services PrestaShop Hosting (ci-après le “Contrat”) forme, avec les Conditions Générales d’Utilisation et la Politique de protection des données personnelles jointes, l’ensemble des conditions applicables à la relation entre l’Utilisateur et PrestaShop dans le cadre des Services.
Dans le cadre des Services, l’Utilisateur peut être amené à communiquer à PrestaShop des données à caractère personnel. Au sens de l’article 4, point 7 et 8 du RGPD, l’Utilisateur est Responsable de Traitement et PrestaShop est Sous-traitant.
1. Définitions
Dans le cadre du Contrat, les termes suivants, lorsqu’ils sont utilisés avec une majuscule, auront la signification suivante :
« Donnée(s) personnelle(s) » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Les Données personnelles sont celles confiées par l’Utilisateur à PrestaShop en vue de leur Traitement pour son compte dans le cadre des Services ; elles sont listées à l’article 4 ci-dessous.
« Responsable de Traitement » a le sens qui lui est donné à l’article 4 -7° du Règlement. Dans le cadre du Contrat, le Responsable de Traitement est l’Utilisateur.
« Règlement » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
« Sous-traitant » désigne la personne physique ou morale qui traite des Données personnelles pour le compte de l’Utilisateur. Dans le cadre du Contrat, le Sous-traitant est PrestaShop.
« Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« Violation » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données personnelles transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles Données personnelles.
Les termes en majuscule utilisés mais non définis dans le présent Contrat ont la signification qui leur est donnée dans les Conditions Générales d’Utilisation.
2. Objet
Le Contrat a pour objet de définir les conditions dans lesquelles PrestaShop s’engage à effectuer, pour le compte de l’Utilisateur, les opérations de Traitement de Données personnelles définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de Données personnelles et, en particulier, le Règlement (ainsi que la Loi n° 78-17 du 6 janvier 1978 modifiée « Informatique et Libertés »).
3. Durée du contrat
Le présent Contrat entre en vigueur à compter de la souscription aux Services par l’Utilisateur et prendra fin à la résiliation par l’une ou l’autre des parties.
4. Description du Traitement
● Service fourni : PrestaShop est autorisé à traiter pour le compte de l’Utilisateur les Données personnelles nécessaires pour leur fournir les Services PrestaShop Hosting, objet des Conditions Générales.
● Nature des opérations réalisées : Les prestations réalisées et lors desquelles XxxxxxXxxx pourra traiter les Données personnelles de l’Utilisateur sont décrites dans les Conditions Générales d’Utilisation (en ce compris l’Annexe 3 bis).
● Finalité du Traitement : Le Traitement des Données personnelles de l’Utilisateur est nécessaire afin que PrestaShop puisse assurer ses engagements contractuels et fournir de manière effective les Services souscrits.
● Données personnelles traitées : Données d’identification, données techniques, données de connexion, données de transaction.
● Personnes concernées : Utilisateur ayant souscrit aux Services ainsi que ses propres clients.
5. Obligation de PrestaShop
5.1.
Traitement des Données personnelles
PrestaShop s'engage à :
I. traiter les Données personnelles uniquement pour la ou les seules finalités qui font l’objet de la sous-traitance,
II. traiter les Données personnelles conformément aux instructions documentées par l’Utilisateur. Si PrestaShop considère qu’une instruction constitue une violation du Règlement (UE) n°2016/679 ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si PrestaShop est tenu de procéder à un transfert de données vers un pays tiers à l’Union Européenne, il doit informer l’Utilisateur de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public,
L’Utilisateur est informé qu’il peut envoyer des instructions écrites si celles-ci sont en cohérence avec les Services souscrits.
III. garantir la confidentialité des Données personnelles traitées dans le cadre du Contrat. Dans le cas où XxxxxxXxxx serait légalement requise de communiquer les Données personnelles à une autorité, elle en informera préalablement l’Utilisateur, sauf si le droit interdit une telle information pour des motifs d’intérêts publics,
IV. veiller à ce que les personnes autorisées à traiter les Données personnelles en vertu du Contrat
:
- s’engagent à respecter la confidentialité des Données personnelles ;
- reçoivent la formation nécessaire en matière de protection des Données personnelles ;
- ne traitent les Données personnelles que pour les seules finalités des Traitements susvisés.
V. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
5.2.
Sous-traitance ultérieure
L’Utilisateur autorise PrestaShop à faire appel à des Sous-traitants ultérieurs pour mener des activités de Traitement spécifiques.
Dans le cadre des Services, l’Utilisateur est informé à ce titre que PrestaShop a d’ores et déjà recours aux Sous-traitants suivants :
● A des fins d’hébergement de vos Sites, PrestaShop fait appel à DeltaBlue, société à responsabilité limitée de droit belge, dont le siège social est situé 0000 Xxxxxxx, Xxxxxxxxx Xxxxxxxx 000, xxx 00, Xxxxxxxx, enregistrée au Registre des Personnes Morales (RPM) d'Anvers, arrondissement d'Hasselt sous le numéro de société 0543.425.375.
● Pour la gestion de la relation client, PrestaShop utilise le logiciel “HubSpot”, édité par la société HubSpot Inc. - 00 Xxxxx Xxxxxx, 0xx Xxxxx, Xxxxxxxxx, XX 00000 - XXX ainsi que les services Google Ireland Limited - Xxxxxx Xxxxx, Xxxxxx Xxxxxx, Xxxxxx 0, Xxxxxxx.
Un contrat relatif au traitement des Données personnelles liant PrestaShop à nos Sous-traitants permet d’assurer un niveau de protection et de sécurité en adéquation avec la législation applicable en matière de protection des Données personnelles.
En cas de sous-traitance ultérieure, PrestaShop informera l’Utilisateur de tout changement concernant l’ajout ou le remplacement d’autres Sous-traitants, au moins un (1) mois avant le changement, afin de donner à l’Utilisateur la possibilité d’émettre des objections à l’encontre de ces changements.
Lorsque XxxxxxXxxx fera appel à un autre Sous-traitant, XxxxxxXxxx s’engage à s’assurer que les mêmes obligations soient imposés à ce Sous-traitant ultérieur que celles fixées au présent Contrat, relativement à la protection des données personnelles et afin que celui-ci réponde aux exigences du Règlement.
5.3.
Droits des personnes concernées
Droit d’information des personnes. Il appartient à l’Utilisateur de fournir l’information à ses Utilisateurs concernés par les opérations de Traitement au moment de la collecte de leurs Données personnelles.
Exercice des droits des personnes. Dans la mesure du possible, PrestaShop aidera l’Utilisateur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits de ses clients : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
5.4.
Notification des Violations
PrestaShop notifie à l’Utilisateur toute Violation dans un délai maximum de soixante-douze (72) heures après en avoir pris connaissance et par email. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Utilisateur, si nécessaire, de notifier la Violation à l’autorité de protection des données compétentes.
PrestaShop indiquera, dans la mesure où l’information est disponible, les éléments suivants :
- nature de l’incident ;
- date et heure de la constatation de l’incident ;
- Données personnelles impactées ;
- mesures directement prises afin de limiter tout dommage supplémentaire ;
- date et heure où l’incident a pris fin ;
- mesures structurelles de prévention pour l’avenir.
5.5.
Aide
PrestaShop s’engage à aider l’Utilisateur, dans la mesure du possible, pour que celui-ci respecte ses obligations s’agissant des Traitements susvisés concernant la réalisation d’une éventuelle analyse d’impact, pour la notification de Violation et pour l’exercice des droits à ses Utilisateurs.
5.6.
Sort des données
En cas de résiliation des Services, l’Utilisateur pourra récupérer ses Données personnelles conformément aux dispositions de l’article 8 des Conditions Générales d’Utilisation.
5.7.
Documentation
PrestaShop déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement effectuées pour le compte de l’Utilisateur.
PrestaShop met à la disposition de l’Utilisateur la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits par l’Utilisateur.
6. Obligations de l’Utilisateur
L’Utilisateur s’engage à :
● Documenter par écrit toute instruction concernant le Traitement des Données personnelles par XxxxxxXxxx, si des instructions spécifiques ont besoin d’être données,
● Superviser le traitement, y compris réaliser les audits et les inspections auprès de PrestaShop,
● Notifier toute Violation soumise à une obligation légale de notification auprès de l’autorité de contrôle compétente,
● Mettre à la disposition du Sous-traitant les informations nécessaires dans sa politique de protection des Données personnelles.
7. Mesures de sécurité
PrestaShop s’engage à mettre en place des mesures techniques et organisationnelles destinées à garantir la sécurité et la confidentialité des Données personnelles contre tout accès, altération, utilisation, modification et divulgation non autorisé à l’occasion de la fourniture des Services.
À ce titre, les employés de PrestaShop en charge de la bonne exécution des Services sont soumis à une obligation de confidentialité.
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, portée, contexte et finalités du traitement, PrestaShop et l’Utilisateur s’engagent à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Les mesures techniques et organisationnelles sont décrites dans l'annexe 3 bis.
8. Responsabilités
Les parties reconnaissent le partage de leurs responsabilités envers les clients de l’Utilisateur, conformément à l’article 82 du Règlement.
L’Utilisateur reconnaît que XxxxxxXxxx n’est tenue du dommage causé par le Traitement que s’il n’a pas respecté les obligations spécifiques aux Sous-traitants dans le Règlement.
Annexe 3 bis - Mesures techniques et organisationnelles
1. Mesures de sécurité organisationnelles
1.1. Gestion de la sécurité
a. Politique et procédures de sécurité : Le Sous-traitant doit documenter une politique de sécurité en ce qui concerne le Traitement des Données personnelles.
b. Rôles et responsabilités :
i. Les rôles et responsabilités liés au Traitement des Données personnelles sont clairement définis et attribués conformément à la politique de sécurité.
ii. Lors de réorganisations internes, de licenciements et de changements d'emploi, la révocation des droits et des responsabilités et les procédures de transfert correspondantes sont clairement définies.
c. Politique de contrôle d'accès : Des droits de contrôle d'accès spécifiques sont attribués à chaque rôle impliqué dans le Traitement des Données personnelles , selon le principe du besoin d'en connaître.
d. Gestion des ressources/actifs : Le Responsable du Traitement dispose d'un registre des ressources informatiques utilisées pour le Traitement des Données personnelles (matériel, logiciel et réseau). Une personne spécifique est chargée de tenir et de mettre à jour le registre (par exemple, le responsable informatique).
e. Gestion des changements : Le Responsable du Traitement s'assure que toutes les modifications apportées au système informatique sont enregistrées et contrôlées par une personne spécifique (par exemple, un responsable informatique ou de la sécurité). Ce processus fait l'objet d'un suivi régulier.
1.2. Réponse aux incidents et continuité des activités
a. Traitement des incidents / Violations de Données personnelles :
i. Un plan de réponse aux incidents avec des procédures détaillées est défini pour assurer une réponse efficace et ordonnée aux incidents concernant les Données personnelles.
ii. Le Sous-traitant signalera sans retard injustifié au contrôleur tout incident de sécurité ayant entraîné une perte, une utilisation abusive ou une acquisition non autorisée de Données personnelles.
b. Continuité des activités : Le Responsable du Traitement établit les principales procédures et contrôles à suivre pour assurer le niveau requis de continuité et de disponibilité du système
informatique traitant les Données personnelles (en cas d'incident/de violation des Données personnelles).
1.3. Ressources humaines
a. Confidentialité du personnel : Le Responsable du Traitement s'assure que tous les employés comprennent leurs responsabilités et obligations liées au Traitement des Données personnelles. Les rôles et responsabilités sont clairement communiqués lors du processus de pré-embauche et/ou d'initiation.
b. Formation : Le Responsable du Traitement veille à ce que tous les employés soient correctement informés des contrôles de sécurité du système informatique qui ont trait à leur travail quotidien. Les employés impliqués dans le Traitement des Données personnelles sont également correctement informés des exigences pertinentes en matière de protection des données et des obligations légales par le biais de campagnes de sensibilisation régulières.
2.
Mesures de sécurité techniques
2.1. Contrôle d'accès et authentification
a. Un système de contrôle d'accès applicable à tous les utilisateurs accédant au système informatique est mis en place. Ce système permet de créer, d'approuver, de réviser et de supprimer des comptes d'utilisateurs.
b. L'utilisation de comptes utilisateurs communs est évitée. Dans les cas où cela est nécessaire, on s'assure que tous les utilisateurs du compte commun ont les mêmes rôles et responsabilités.
c. Lors de l'octroi de l'accès ou de l'attribution des rôles d'utilisateur, le "principe du besoin de savoir" doit être respecté afin de limiter le nombre d'utilisateurs ayant accès aux Données personnelles à ceux qui en ont besoin pour atteindre les objectifs de Traitement du Responsable du traitement.
d. Lorsque les mécanismes d'authentification sont basés sur des mots de passe, le Sous-traitant exige que le mot de passe soit composé d'au moins huit caractères et qu'il soit conforme à des paramètres de contrôle de mot de passe très forts, notamment la longueur, la complexité des caractères et la non-répétitivité.
e. Les informations d'authentification (telles que l'ID utilisateur et le mot de passe) ne doivent jamais être transmises sans protection sur le réseau.
2.2. Logging et surveillance
Des fichiers journaux sont activés pour chaque système/application utilisé pour le Traitement des Données personnelles. Ils comprennent tous les types d'accès aux données (consultation, modification, suppression).
2.3. Sécurité des données au repos
a. Sécurité des serveurs/bases de données
i. Les serveurs de bases de données et d'applications sont configurés pour fonctionner à l'aide d'un compte distinct, avec les privilèges minimums du système d'exploitation pour fonctionner correctement.
ii. Les serveurs de bases de données et d'applications ne traitent que les Données personnelles qu'il est réellement nécessaire de traiter pour atteindre ses objectifs de traitement.
b. Sécurité des postes de travail
i. Les utilisateurs ne sont pas en mesure de désactiver ou de contourner les paramètres de sécurité.
ii. Les applications antivirus et les signatures de détection sont configurées régulièrement.
iii. Les utilisateurs n'ont pas le droit d'installer ou de désactiver des applications logicielles non autorisées.
iv. Le système dispose de délais d'attente pour les sessions lorsque l'utilisateur n'a pas été actif pendant une certaine période.
v. Les mises à jour de sécurité critiques publiées par le développeur du système d'exploitation sont installées régulièrement.
2.4. Sécurité des réseaux et des communications
a. Chaque fois que l'accès est effectué via Internet, la communication est chiffrée au moyen de protocoles cryptographiques.
b. Le trafic vers et depuis le système informatique est surveillé et contrôlé par des pare-feu et des systèmes de détection d'intrusion.
2.5. Sauvegardes
a. Les procédures de sauvegarde et de restauration des données sont définies, documentées et clairement liées aux rôles et responsabilités.
b. Les sauvegardes bénéficient d'un niveau de protection physique et environnementale approprié, conforme aux normes appliquées aux données d'origine.
c. L'exécution des sauvegardes est surveillée pour s'assurer qu'elles sont complètes.
2.6. Dispositifs mobiles/portables
a. Les procédures de gestion des appareils mobiles et portables sont définies et documentées, établissant des règles claires pour leur utilisation correcte.
b. Les dispositifs mobiles qui sont autorisés à accéder au système d'information sont préenregistrés et préautorisés.
2.7. Sécurité du cycle de vie des applications
Pendant le cycle de développement, les meilleures pratiques, l'état de l'art et les pratiques ou normes de développement sécurisé reconnues sont suivies.
2.8. Suppression/élimination des données
a. Un écrasement logiciel sera effectué sur les supports avant leur élimination. Dans les cas où cela n'est pas possible (CD, DVD, etc.), une destruction physique sera effectuée.
b. Le papier et les supports portables utilisés pour stocker les Données personnelles sont déchiquetés.
2.9. Sécurité physique
Le périmètre physique de l'infrastructure du système informatique n'est pas accessible par du personnel non autorisé. Des mesures techniques appropriées (par exemple, un système de détection des intrusions, un tourniquet fonctionnant avec une carte à puce, un système d'entrée de sécurité pour une seule personne, un système de verrouillage) ou des mesures organisationnelles (par exemple, un agent de sécurité) sont mises en place pour protéger les zones de sécurité et leurs points d'accès contre l'entrée de personnes non autorisées.