Technologies de l’information

Conditions générales pour Software as a Service (IT CG Saas)

Partie A: Conditions générales

1 Les renvois se rapportent aux chiffres qui figurent dans la partie concernée.

nées de capteurs, d’enregistreurs, factuelles, de télé- métrie et de diagnostic, etc.) et autres données (y com- pris p. ex. les données agrégées, anonymisées, pseudo- nymisées ou analytiques, etc.) qui sont traités ou pro- duits dans le cadre de la fourniture de prestations et, en particulier, de l’utilisation de la Solution SaaS.

3.3 Releases: désigne les développements du logiciel stan- dard et spécifique, y compris le microprogramme. Les nouvelles releases présentent de nouvelles fonctionna- lités, des corrections d’erreurs et/ou des performances accrues.

4. Étendue des prestations et droits d’utilisation

4.1 Le prestataire de services est autorisé à fournir la solu- tion SaaS conformément au contrat. Il propose le logi- ciel, ainsi que les logiciels de base nécessaires à son fonctionnement, aux fins de l’utilisation par la Poste via un réseau de données et assure les prestations de sup- port associées.

4.2 Le prestataire de services met à disposition la solu- tion SaaS dans l’étendue convenue, aux fins de l’utili- sation par la Poste et par les sociétés du groupe, en tenant compte des prescriptions en matière de protec- tion des données et de sécurité de l’information (voir partie B « Conditions relatives à la protection des don- nées et à la sécurité de l’information »).

4.3 Le prestataire de services est tenu de fournir des pres- tations d’exploitation, de service, de maintenance et d’entretien ainsi que des services de support et d’assis- tance conformément au contrat. Sauf indication con- traire, les dispositions de l’annexe «Service Level Agree- ment» s’appliquent.

4.4 Pendant la durée du contrat, le prestataire de services accorde à la Poste et aux sociétés du groupe Poste le droit simple, géographiquement illimité et, sauf dispo- sition contraire, non transférable d’utiliser la solu- tion SaaS dans l’étendue convenue.

4.5 La Poste peut permettre aux utilisateurs autorisés d’uti- liser la solution SaaS dans l’étendue convenue par con- trat.

4.6 Les sociétés de la Poste (participations directes et indi- rectes à hauteur d’au moins 50%) peuvent utiliser le logiciel standard dans la limite des chiffres1 4.1 à 4.4.

5. Documentation

5.1 Le prestataire de services met à la disposition de la Poste, sous forme électronique ou sous forme papier, une documentation complète et reproductible (manuel d’installation et d’utilisation) dans les langues conve- nues et dans la quantité convenue.

5.2 La Poste a le droit de reproduire la documentation en vue d’une utilisation conforme au contrat.

6. Formation

6.1 À la demande de la Poste, le prestataire de services or- ganise une formation qui doit être convenue en termes d’étendue et de destinataires.‌‌

7. Collaboratrices et collaborateurs, directives rela- tives à l’exploitation

7.1 Le prestataire de services n’emploie que du personnel soigneusement sélectionné et bien formé, qui possède les compétences requises pour la fourniture des pres- tations et dispose, si nécessaire, des autorisations de droit public.

7.2 Le prestataire de services s’engage à respecter les di- rectives relatives à l’exploitation, le règlement intérieur et les dispositions en matière de sécurité (notamment en matière de sécurité de l’information et de protection des données) de la Poste pour toute prestation fournie sur place.

8. Recours à des tiers

8.1 Le prestataire de services ne peut faire appel à des tiers (p. ex. sous-traitants) pour la fourniture de ses presta- tions sans l’accord préalable écrit de la Poste. Il de- meure responsable de la fourniture conforme au con- trat des prestations qu’il confie à des tiers.

8.2 Le prestataire de services transfère aux tiers auxquels il fait appel les obligations formulées dans le présent chiffre ainsi que dans les chiffres 7 (Collaboratrices et collaborateurs, directives relatives à l’exploitation), 9 (Protection au travail, conditions de travail et égalité sa- lariale entre les femmes et les hommes), 15 (Confiden- tialité) et 16 (Protection des données, sécurité de l’in- formation, secret postal et bancaire).

8.3 Lesdits tiers ne sont pas autorisés à conclure des con- trats avec des sous-traitants sans l’accord préalable de la Poste. Le prestataire de services doit en tenir compte et en convenir dans les contrats conclus avec les tiers auxquels il fait appel.

9. Protection au travail, conditions de travail et égalité salariale entre les femmes et les hommes ‌

9.1 Le prestataire de services ayant son siège social ou une succursale en Suisse respecte les dispositions relatives à la protection au travail et les conditions de travail ap- plicables en Suisse ainsi que le principe de l’égalité sa- lariale entre les femmes et les hommes. Sont considé- rées comme conditions de travail les conditions fixées par les conventions collectives de travail et les contrats- types de travail ou, à défaut, les conditions de travail

usuelles dans la localité et la profession. Le prestataire de services domicilié à l’étranger se conforme aux dis- positions pertinentes qui s’appliquent au lieu où la prestation est fournie.

10. Rémunération et facturation

10.1 La rémunération convenue contractuellement couvre toutes les prestations nécessaires à la bonne exécution du contrat.

10.2 La rémunération couvre notamment les coûts de mise à disposition du logiciel à utiliser, l’octroi des droits d’utilisation convenus, les services d’entretien/mainte- nance et de support/assistance, les coûts de documen- tation, les taxes publiques (y compris la TVA, sauf men- tion contraire explicite dans la fiche des prix), la sécu- rité/conformité (p. ex. la sécurité des données, la pro- tection des données). Toutes les rémunérations conve- nues s’entendent TVA en sus au taux applicable.

10.3 Le prestataire de services établit ses factures selon le plan de paiement convenu ou après avoir fourni ses prestations.

10.4 La taxe sur la valeur ajoutée est indiquée séparément sur la facture.

10.5 Les conditions et délais de paiement stipulés dans le contrat s’appliquent.

10.6 Si des paiements anticipés sont convenus, la Poste peut exiger du prestataire de services qu’il fournisse, à ses frais, une sûreté sous la forme d’une garantie bancaire ou d’une garantie d’assurance de premier ordre.

10.7 Si la Poste et/ou des sociétés de la Poste (participations directes et indirectes à hauteur d’au moins 50%) utili- sent des prestations du prestataire de services, les ré- munérations correspondantes sont cumulées aux fins du calcul des rabais.

11. Lieu d’exécution

11.1 Dans le cas d’une solution SaaS, l’emplacement du centre de données est considéré comme le lieu d’exé- cution pour son exploitation et les sites du mandant sont considérés comme le lieu d’exécution pour son utilisation.

11.2 D’autres actions en lien avec l’exécution sont réalisées dans les locaux du prestataire de services, sur place ou par accès à distance après accord entre les parties.

12. Demeure

12.1 Si le prestataire de services ne respecte pas les échéances fixes convenues (prestations à fournir à une date d’échéance), il est immédiatement mis en de- meure. Dans tous les autres cas, la mise en demeure intervient par le biais d’une lettre de rappel.

12.2 Si le prestataire de services est mis en demeure, il est tenu de verser une peine conventionnelle, à moins qu’il prouve n’avoir commis aucune faute. La peine conven- tionnelle s’élève à 5‰ par jour de retard, mais au plus à 10% de la rémunération totale. Elle est due même si

les prestations sont acceptées. Le paiement de la peine conventionnelle ne libère pas le prestataire de services du respect de ses obligations contractuelles. La peine conventionnelle est due en complément du versement éventuel de dommages-intérêts.

12.3 Aucune peine conventionnelle n’est due si des crédits automatiques (p. ex. service crédits) sont convenus en lien avec le catalogue des prestations SLA comme con- séquences de la demeure.

13. Garantie

13.1 Le prestataire de services garantit que le logiciel fourni pour utilisation est mis à disposition pendant toute la durée du contrat avec l’ensemble des propriétés con- venues, garanties et requises pour une utilisation con- forme à l’objectif prévu et que le logiciel est conforme aux dispositions légales pertinentes.

13.2 Le prestataire de services garantit qu’il dispose de tous les droits pour fournir ses prestations conformément au contrat et qu’il est notamment habilité à accorder à la Poste les droits d’utilisation du logiciel dans l’étendue convenue par contrat.

13.3 Pendant toute la durée du contrat, la Poste peut à tout moment signaler des défauts (p. ex. de la solu- tion SaaS).

13.4 Le prestataire de services s’engage à remédier à ses propres frais à tous les défauts et dérangements qui sont survenus. Si nécessaire, il met à la disposition de la Poste un logiciel de remplacement approprié ou une solution de contournement pendant le temps requis pour l’élimination du défaut.

13.5 Si, malgré l’octroi d’un délai supplémentaire écrit, le prestataire de services ne remédie pas aux défauts ou aux dérangements dans un délai raisonnable, notam- ment en respectant les délais convenus dans le SLA, et/ou s’il ne met pas une solution de remplacement ap- propriée à la disposition de la Poste alors que celle-ci en a besoin, la Poste peut choisir de déduire de la ré- munération un montant correspondant à la moins-va- lue ou de résilier le contrat.

13.6 En cas de dommage résultant d’un défaut, le presta- taire de services est en outre tenu à réparation.‌

14. Responsabilité

14.1 Les parties répondent de tout dommage qu’elles cau- sent à l’autre partie, à moins qu’elles prouvent n’avoir commis aucune faute.

14.2 La responsabilité pour négligence légère peut être limi- tée dans le contrat.

14.3 La responsabilité pour les dommages corporels est illi- mitée.

14.4 Les parties répondent des actes de leur personnel, de leurs auxiliaires et des tiers auxquels elles font appel (p. ex. sous-traitants, fournisseurs, substituts) comme de leurs propres actes.

15. Confidentialité

15.1 Les parties traitent de manière confidentielle tous les faits et toutes les informations qui ne sont ni notoires ni librement accessibles. En cas de doute, les faits et informations doivent être traités de manière confiden- tielle. Les parties s’engagent à prendre toutes les dis- positions économiquement acceptables et possibles d’un point de vue technique et organisationnel pour protéger efficacement les faits et informations à carac- tère confidentiel et éviter que des tiers non autorisés y aient accès ou en prennent connaissance.

15.2 L’obligation de confidentialité lie les parties avant même la conclusion du contrat et subsiste au-delà de la fin des rapports contractuels.

15.3 La communication par la Poste d’informations confi- dentielles au sein du groupe Poste ou à des tiers man- datés ne constitue pas une violation de l’obligation de confidentialité.

15.4 Cela s’applique au prestataire de services dans la me- sure où la transmission est nécessaire à la réalisation du contrat ou s’il transmet les dispositions du contrat au sein du groupe.

15.5 Sans autorisation écrite, le prestataire de services ne peut pas faire de la publicité sur le fait qu’une collabo- ration avec la Poste existe ou a existé, et ne peut pas citer la Poste comme référence.

15.6 Les parties imposent à leur personnel, ainsi qu’à leurs auxiliaires, le respect des obligations résultant du pré- sent chiffre 11.

15.7 Si l’une des parties viole l’obligation de confidentialité, elle est tenue de verser à l’autre partie une peine con- ventionnelle, à moins qu’elle prouve n’avoir commis aucune faute.

15.8 La peine conventionnelle s’élève à 10% de la rémuné- ration totale par infraction, mais au plus à CHF 50’000.00 par cas. Le paiement de la peine con- ventionnelle ne libère pas du respect de l’obligation de confidentialité.

15.9 La peine conventionnelle est due en complément du versement éventuel de dommages-intérêts.

16. Protection des données, sécurité de l’informa- tion, secret postal et bancaire

16.1 Les parties s’engagent à respecter les dispositions de la législation suisse en matière de protection des données et les « Conditions relatives à la protection des données et à la sécurité de l’information » figurant dans la par- tie B dans la mesure où celles-ci sont applicables.

16.2 Le prestataire de services prend connaissance du fait que toutes les données et informations de la Poste liées à la clientèle et portées à sa connaissance dans le cadre du présent contrat sont soumises au secret postal et bancaire au sens de l’art. 321ter CP et de l’art. 47 LB et que leur divulgation, même après la fin de la relation d’affaires, est punissable d’une peine privative de li- berté ou d’une peine pécuniaire (amende).

17. Droits de protection et d’utilisation

17.1 Le prestataire de services s’oppose immédiatement, à ses frais et risques, aux prétentions de tiers fondées sur la violation de droits de protection. Il informe immédia- tement la Poste par écrit de telles prétentions et ne s’oppose pas à l’intervention de la Poste dans le cadre d’une éventuelle procédure judiciaire.

17.2 Si le tiers fait valoir ses prétentions directement auprès de la Poste, le prestataire de services se porte partie au litige à la première demande de la Poste, conformé- ment aux possibilités prévues par la procédure xxxx- ciaire applicable.

17.3 Le prestataire de services s’engage à prendre en charge tous les coûts (y compris les dommages-intérêts) occa- sionnés à la Poste par la conduite du procès et/ou par un éventuel règlement extrajudiciaire du litige.

17.4 En cas de règlement extrajudiciaire, le prestataire de services n’est tenu de verser au tiers le paiement con- venu que dans la mesure où il y a consenti au préa- lable.

17.5 S’il n’est pas possible pour la Poste d’utiliser, entière- ment ou partiellement, les prestations définies dans le contrat en raison de prétentions fondées sur les droits de protection, le prestataire de services peut choisir de modifier ses prestations de manière à ce qu’elles ne portent pas atteinte aux droits de tiers tout en restant conformes à l’étendue des prestations convenues con- tractuellement, ou de se procurer à ses frais une licence auprès du tiers.

17.6 Si le prestataire de services ne met pas en œuvre l’une de ces options dans un délai raisonnable, la Poste peut résilier le contrat avec effet immédiat.

17.7 Le prestataire de services est dans tous les cas tenu d’indemniser intégralement la Poste, indépendamment d’une faute éventuelle; les limitations de responsabilité convenues sur la base du chiffre 14.1 ne s’appliquent pas.

18. Modifications du contrat, divergences et nullité partielle

18.1 Les modifications et compléments apportés au contrat requièrent la forme écrite.

18.2 En cas de divergences, les dispositions du contrat pré- valent sur celles des conditions générales et les disposi- tions des conditions générales prévalent sur celles de l’offre.

18.3 Si certaines dispositions du contrat devaient s’avérer nulles ou illicites, la validité du contrat dans son en- semble n’en serait pas affectée. Dans ce cas, la dispo- sition concernée doit être remplacée par une autre dis- position valide se rapprochant le plus possible du but économique poursuivi.

19. Cession et mise en gage

19.1 Le prestataire de services n’a le droit ni de céder ni de mettre en gage les créances qu’il détient contre la Poste sans l’accord écrit de la Poste.

20. Droit applicable et for

20.1 Seul le droit suisse est applicable. Les dispositions de la Convention des Nations Unies sur les contrats de vente internationale de marchandises du 11 avril 1980 (Con- vention de Vienne) sont exclues.

20.2 Le for exclusif est Berne.

Partie B: Conditions relatives à la pro- tection des données et à la sécurité

de l’information

I. Protection des données

1. Généralités

1.1 Le prestataire de services s’engage, à l’exception des lieux précisés dans la feuille de spécifications SIPD, à ne pas traiter les données de la Poste à l’étranger ou au- près de tiers non désignés dans le présent contrat et à empêcher l’accès à de telles données depuis l’étranger. En cas de communication de données à l’étranger, les dispositions du chiffre 3 s’appliquent en sus.

1.2 Le prestataire de services ne peut traiter les données de la Poste que dans le but et dans l’étendue nécessaires à l’exécution et à la mise en œuvre du présent contrat. Le prestataire de services ne peut pas utiliser les don- nées nominatives de la Poste à ses propres fins ou à celles de tiers. Le prestataire de services doit obtenir l’accord écrit préalable de la Poste si des données doi- vent être transmises à des tiers aux fins de l’exécution du contrat. La Poste a le droit de donner des instruc- tions au prestataire de services concernant le type, l’étendue et la procédure du traitement des données.

1.3 Le prestataire de services ne peut fournir des informa- tions à des tiers, en particulier à des autorités pu- bliques, qu’en accord avec la Poste. Il doit obtenir l’ac- cord préalable de la Poste, à moins que cela ne soit ex- clu par une disposition légale impérative ou une déci- sion ayant force de loi. En outre, il doit consulter la Poste au sujet de l’exercice d’éventuelles voies de droit et ne peut renoncer de sa propre initiative à l’exercice de ces voies de droit. Si l’information et l’accord préa- lables de la Poste doivent être exclus en raison de dis- positions légales impératives, le prestataire de services est tenu d’épuiser toutes les voies de droit existantes contre les demandes correspondantes – à moins que, selon les règles de la bonne foi, celles-ci ne paraissent d’emblée vouées à l’échec. Sur demande, le prestataire de services renseigne sur les demandes d’information officielles possibles dans l’ordre juridique applicable et pour lesquelles l’information et l’accord préalables de

la Poste sont exclus en vertu du droit impératif. Les par- ties imposent à leur personnel ainsi qu’à leurs auxi- liaires le respect des obligations découlant du présent chiffre.

1.4 Le prestataire de services protège les données de la Poste par des mesures techniques et organisationnelles appropriées contre tout traitement non autorisé, toute perte et toute utilisation abusive. Il est tenu d’effectuer à intervalles réguliers des contrôles aléatoires concer- nant les mesures de sécurité techniques et organisa- tionnelles relatives aux données de la Poste, ainsi que des contrôles de protection des données des tiers aux- quels il fait appel. S’il constate des violations des pres- criptions légales, des dispositions contractuelles ou des directives de la Poste, il en informe immédiatement la Poste.

1.5 Les parties s’engagent à respecter les dispositions de la législation suisse en matière de protection des données et les autres prescriptions applicables en matière de protection des données.‌

1.6 À la demande de la Poste, le traitement des données personnelles par le prestataire de services se fonde sur une convention supplémentaire relative à la protection des données.

2. Contrôle des données

2.1 La Poste est la seule entité autorisée à accéder aux don- nées de la Poste et peut exiger à tout moment du pres- tataire de services qu’il lui remette toutes les données ou certaines données de la Poste (chiffre 7), sans qu’il existe de droit de rétention pour le prestataire de ser- vices. Le prestataire de services renonce de manière ir- révocable à tous les droits de conservation et de réten- tion des données de la Poste.

3. Communication de données à l’étranger

3.1 Si, à titre exceptionnel et avec l’accord exprès de la Poste, des données sont communiquées dans des cas particuliers dans l’espace UE/EEE avec un niveau de protection des données adéquat (liste des États du PFPDT avec le niveau «protection adéquate des per- sonnes physiques»), le traitement des données person- nelles par le prestataire de services au sens du chiffre 1.6 se fonde sur une convention supplémentaire relative à la protection des données.‌

3.2 Si, à titre exceptionnel et avec l’accord exprès de la Poste, des données sont communiquées dans des cas particuliers en dehors de la Suisse et de l’espace UE/EEE, le traitement des données personnelles par le prestataire de services au sens du chiffre 1.6 se fonde sur une convention supplémentaire relative à la protec- tion des données et sur des garanties supplémentaires du prestataire de services conformément aux exigences de la Poste.

II. Sécurité de l’information

1. Normes applicables

1.1 Les normes ISO/IEC 27002/ 27017/27018 et 27701 re- latives à la sécurité de l’information ainsi que la liste OWASP Top 10 pour les applications web et non web sont obligatoires tant pour le développement que pour l’exploitation d’applications et de systèmes informa- tiques utilisés aux fins du traitement des données de la Poste. Le prestataire de services s’engage à respecter ces normes pendant toute la durée du contrat. Il veille à ce que son personnel ainsi que tous les tiers qu’il mandate pour fournir des prestations contractuelles respectent également ces normes.

2. Droits d’audit et de contrôle

2.1 Afin de respecter le présent contrat et de contrôler la maturité des mesures techniques et organisationnelles (ci-après «MTO») garanties par le prestataire de ser- vices, la Poste a le droit de consulter en tout temps au- près du prestataire de services et de ses tiers les rap- ports d’audit, les rapports de contrôle et les autres rap- ports de sécurité disponibles concernant la fourniture de prestations.

2.2 Si les documents consultés ne permettent pas une éva- luation suffisante de la mise en œuvre des MTO, la Poste peut en tout temps, librement et avec la collabo- ration du prestataire de services/des tiers, contrôler elle-même ou par l’intermédiaire d’experts le degré d’avancement des MTO tant auprès du prestataire de services que des tiers.

2.3 À cet égard, le prestataire de services ou le tiers garan- tit à la Poste un droit à l’information, un droit d’accès et un droit de regard illimités. Chaque partie assume ses propres frais.

2.4 Les défauts constatés dans le cadre de la consultation ou de l’audit doivent être corrigés aux frais du presta- taire de services selon leur degré de criticité.

3. Recours à des tiers

3.1 Pour l’exécution du présent contrat, il est possible de faire appel aux sous-traitants (tiers) cités dans la feuille de spécifications SIPD.

4. Emplacements des serveurs et sites de sauve- garde / points d’accès

4.1 Les emplacements des serveurs et les sites de sauve- garde du prestataire de services se trouvent exclusive- ment dans les centres de calcul indiqués dans la feuille de spécifications SIPD.

4.2 L’accès aux emplacements des serveurs susmentionnés se fait exclusivement depuis les points d’accès indiqués dans la feuille de spécifications SIPD.

4.3 Toute modification d’un emplacement de serveur, d’un site de sauvegarde ou d’un point d’accès doit être an- noncée à la Poste au moins six mois à l’avance. La Poste est libre d’accepter la modification ou de résilier le con- trat.

4.4 Toute modification d’un emplacement de serveur, d’un site de sauvegarde ou d’un point d’accès effectuée sans l’accord de la Poste peut constituer une violation des obligations de confidentialité et être sanctionnée conformément aux dispositions relatives à la confiden- tialité.

5. Transmission de données

5.1 La Poste transmet au prestataire de services, dans un format approprié et défini conjointement, les données de la Poste nécessaires à la fourniture des prestations.

6. Sauvegarde des données

6.1 Afin de garantir l’intégrité et la disponibilité des don- nées traitées, le prestataire de services exploite une in- frastructure suffisamment performante. Il prend les mesures adéquates pour prévenir la perte de données, empêche tout accès non autorisé aux données de la Poste par des tiers et contrôle tant la plateforme de ser- veurs que les données traitées. Les données d’accès de la Poste enregistrées sur le serveur sont protégées contre les accès non autorisés avec des moyens adaptés à la nature des menaces du moment.

6.2 Le prestataire de services effectue régulièrement des sauvegardes et des tests de restauration.‌

7. Restitution des données ‌

7.1 Le prestataire de services accorde à la Poste, pendant une période de 30 jours après la fin du contrat et sans rémunération supplémentaire, un accès au moins en mode lecture à la solution SaaS et aux données de la Poste aux fins de l’exportation de celles-ci. L’accès cor- respondant doit en outre être accordé aussi longtemps que la Poste le demande, si celle-ci informe que ses données sont illisibles ou incomplètes ou qu’elles ne doivent pas être supprimées pour d’autres raisons ex- ceptionnelles. Le prestataire de services ne peut refuser une telle prolongation extraordinaire de l’accès sans juste motif.

7.2 De plus, la Poste bénéficie d’une prolongation extraor- dinaire de l’accès d’une durée supplémentaire d’un à trois mois pour l’exécution d’une migration, pour au- tant qu’elle en informe le prestataire de services au plus tard 30 jours avant la fin du contrat. Le cas échéant, le prestataire de services reçoit une rémunération sur la base des conditions convenues dans la fiche des prix, au prorata de la période de prolongation souhaitée, ou une rémunération réduite adaptée à l’utilisation limi- tée. Le prestataire de services ne peut refuser une telle prolongation de l’accès sans juste motif.

7.3 Par conséquent, le prestataire de services supprime ou détruit les données de la Poste sauvegardées dans son infrastructure au plus tôt 30 jours après la fin du con- trat; en cas de prolongation extraordinaire de l’accès, les données ne sont supprimées/détruites qu’après l’ex- piration du délai défini par la Poste. Avant cette date, la suppression ou la destruction des données de la Poste n’est autorisée que sur instruction expresse et vé- rifiable de la Poste.

7.4 Une fois l’exportation effectuée et confirmée, les don- nées de la Poste doivent être supprimées de l’infras- tructure du prestataire de services, conformément au chiffre 8.