CONTRAT-CADRE DE SERVICES CLOUD n° XXX
Departement de la culture, des infrastructures et des ressources humaines
(DCIRH)
Direction générale du numérique et des systèmes d'information (DGNSI)
CONTRAT-CADRE DE SERVICES CLOUD n° XXX
(« Contrat Cadre »)
entre
Etat de Vaud
représenté par
la Direction générale du numérique et des systèmes d’information (ci-après « DGNSI » ou « Client »)
et
< Nom complet du fournisseur>
< Adresse>
(ci-après « Fournisseur »)
Le Contrat Cadre est conclu entre <nom du fournisseur> et l’Etat de Vaud, représenté par la DGNSI, tous deux ci-après dénommés Parties Principales ou Parties. Il définit les dispositions en vertu desquelles l’Etat de Vaud est en droit d’avoir accès et d’exploiter les services cloud mis à sa disposition par le Fournisseur (tel que défini ci-après) conformément à un Contrat Spécifique dûment exécuté (tel que défini ci-après).
Sauf accord contraire, le présent Contrat (tel que défini ci-après) s’applique à tout nouveau Contrat spécifique (tel que défini ci-après) signé à partir de la date d’entrée en vigueur du présent Contrat.
Les termes avec une majuscules ont le sens défini à l’Annexe A. Ce Contrat se compose des sections suivantes :
DGNSI – Xxxxxx xx Xxxxxxxxxx 0 – 0000 Xxxxxx – Tél. : 000 000 00 00
TABLE DES MATIERES
1 STRUCTURE CONTRACTUELLE 7
2 OFFRE 10
3 OBLIGATIONS DU CLIENT 11
4 OBLIGATIONS DU FOURNISSEUR 11
5 CONDITIONS FINANCIÈRES 16
6 PROCÉDURE DE CONTRÔLE DES MODIFICATIONS 17
7 DROIT D'UTILISATION DES SERVICES ET MISES À JOUR DES SERVICES 18
8 NIVEAUX DE SERVICE ET NORMES DE PERFORMANCE 19
9 APPLICATIONS TIERCES ET FOURNISSEURS TIERS 20
10 DROITS DE PROPRIÉTÉ INTELLECTUELLE SUR LES SERVICES D’APPLICATION ET DE PLATEFORME 20
11 DROITS DE PROPRIÉTÉ INTELLECTUELLE SUR LES RÉSULTATS DES SERVICES PROFESSIONNELS 21
12 RÉCEPTION DE LIVRABLES DANS LE CADRE DE SERVICES PROFESSIONNELS 22
13 DONNÉES DU CLIENT 22
14 PROTECTION DES DONNÉES PERSONNELLES 25
15 GARANTIES 26
16 RESPONSABILITÉ 27
17 INDEMNISATION MUTUELLE 28
18 ENTRÉE EN VIGUEUR, DURÉE ET RÉSILIATION 29
19 SURVEILLANCE ET DROITS D'AUDIT 32
20 INCIDENT DE SECURITE 33
21 FORCE MAJEURE 35
22 PROCÉDURES DE SAUVEGARDE ET PLAN DE REPRISE APRÈS CAS DE FORCE MAJEURE . 36 23 PROCÉDURE D’ESCALADE 36
24 CONFORMITÉ RÉGLEMENTAIRE 37
25 DISPOSITIONS GÉNÉRALES 37
26 DROIT APPLICABLE ET TRIBUNAL COMPÉTENT 38
ANNEXE A - DEFINITIONS 40
ANNEXE B - CONTRAT SPECIFIQUE 43
1 DISPOSITIONS GENERALES 43
2 DATE EFFECTIVE ET DURÉE 43
3 SERVICES D’APPLICATION 44
4 SERVICES DE PLATE-FORME 44
5 SERVICES PROFESSIONNELS 44
6 DÉROGATIONS 45
7 ANNEXES 45
8 SIGNATURES 45
ANNEXE C - DESCRIPTION DES SERVICES 47
1 DESCRIPTION DES SERVICES 47
ANNEXE D - ACCORD SUR LES NIVEAUX DE SERVICE (SLA) 48
1 REPRÉSENTANTS POUR LE SUPPORT 48
2 SOLUTIONS SUPPORTÉES 48
3 HEURES DE DISPONIBILITÉ DES SERVICES 48
4 SUIVI DE LA DISPONIBILITÉ ET DE LA PERFORMANCE 48
5 INDICATEURS CLÉS DE PERFORMANCE 48
6 HORAIRES DE SUPPORT 49
7 LANGUES DE SUPPORT ET DE COMMUNICATION 49
8 CONTACTS POUR LE SUPPORT 49
9 MATRICE DE PRIORITÉ 49
10 HORLOGE DES INCIDENTS 50
11 OBJECTIF DE TEMPS DE RÉPONSE, MISE À JOUR ET DE RÉSOLUTION DES INCIDENTS 50
12 GESTION DES ESCALADES 51
13 RÉPONDANT FOURNISSEUR 51
14 ACTIVITÉS DE GESTION DE PROBLÈMES 52
15 DISPONIBILITÉ DES SERVICES 52
16 LES TEMPS D’INDISPONIBILITÉ DU SYSTÈME (OUTAGE) 52
17 LATENCE 52
18 TEMPS DE RÉPONSE MOYEN 53
19 ACTIVITÉS DE MAINTENANCE 53
20 PROCÉDURE DE MAINTENANCE NON PLANIFIÉE 54
21 PROCÉDURE DE MISE À JOUR (MISE EN PRODUCTION) 54
22 GESTION DES VERSIONS 54
23 SAUVEGARDE ET DE REPRISE APRÈS SINISTRE 54
24 NIVEAUX DE DOTATION POUR LES RESSOURCES CLÉS 55
25 PÉNALITÉS 55
26 RÉSILIATION 55
27 GOUVERNANCE DES REVUES DE SERVICE PÉRIODIQUE AVEC LE FOURNISSEUR 55
28 GESTION DES LICENCES 55
ANNEXE E - ACCORD DE TRAITEMENT DE DONNEES PERSONNELLES (ATDP) 56
ANNEXE F - FICHE TECHNIQUE DE SÉCURITÉ 57
1 INTRODUCTION 57
2 LE QUESTIONNAIRE CLOUD SECURITY ALLIANCE (CSA) 57
3 CERTIFICATION 57
4 CONTRÔLES DE SÉCURITÉ 57
5 PROCÉDURES DE SÉCURITÉ, POLITIQUES ET CONNEXION 58
6 DÉTECTION/PRÉVENTION DES INTRUSIONS 58
7 AUTHENTIFICATION DES UTILISATEURS 58
8 JOURNAUX DE SÉCURITÉ 59
9 GESTION DES INCIDENTS 59
10 SÉCURITÉ PHYSIQUE 59
11 FIABILITÉ ET SAUVEGARDE 59
12 REPRISE D’ACTIVITÉ APRÈS CATASTROPHE (DISASTER RECOVERY) 59
13 CODE MALVEILLANT 59
14 CRYPTAGE DES DONNÉES (DATA ENCRYPTION) 60
15 GESTION DES VULNÉRABILITÉS 60
ANNEXE G - ACCORD DE CONFIDENTIALITE 61
Document | Version | Date | Etat | Auteur | Validé par | Visa |
CC_Cloud_V1.1 | V1.1 | 12.02.2024 | Finalisé | PoJu | DGNSI | CTR |
1 STRUCTURE CONTRACTUELLE
1.1 Objet, champ d’application et validité
1.1.1 Le présent Contrat Cadre a pour but de définir les conditions dans lesquelles le Fournisseur s’engage à fournir des Services cloud au profit du Client. Le Contrat Cadre se compose des sections suivantes :
Texte principal de l'accord | Le texte principal de l'accord contient les conditions générales relatives aux prestations de services et à leur utilisation par le Client et les Utilisateurs autorisés. |
Annexe A Définitions | Contient une liste de la signification des termes commençant avec une majuscule dans le contrat |
Annexe B Contrat Spécifique | Contrat Spécifique - Xxxxxx de contrat spécifique ayant trait à la commande par le Client de Services d’application et/ou de plateforme. |
Annexe C Description des services | Contient un résumé clé de l'offre de services (y compris les principales spécifications fonctionnelles et de performance des Services d'application et/ou de plateforme, et les caractéristiques de sécurité pertinentes de l'environnement d'hébergement des Applications) et des Services professionnels (si applicables). |
Annexe D Accord de niveaux de service (SLA) | Détermine les niveaux de performance attendus des Services d'application et/ou de plateforme, ainsi que les pénalités associées aux Niveaux de service et/ou les autres recours spécifiques du Client pour manquement au SLA. |
Annexe E Accord de traitement de données personnelles (ATDP) | Détaille les engagements, instructions, droits et obligations relatives au traitement des données personnelles conformément à l'ATDP. |
Annexe F Fiche de données de sécurité | Cette fiche concerne les politiques et procédures de sécurité attendues par le Client et auxquelles le Fournisseur s’engage pour les Services. |
Annexe G Chartes de confidentialité | Chartes de confidentialité devant être signé par le Fournisseur et les Intervenants du Fournisseur (ou Entité du Fournisseur) appelés à exécuter des services en faveur du Client |
1.1.2 Le Contrat Cadre est un élément constitutif de tout Appel d’offres (si applicable) lancé par l’Etat de Vaud, qui est réputé accepté par le Fournisseur au moment où ce dernier fait une Offre, et de tout Contrat spécifique auquel le Client est partie en matière informatique.
1.1.3 Toute modification apportée au Contrat Cadre nécessite un Avenant signé par les Parties. Le Client est susceptible de solliciter la modification du Contrat Cadre suite à de nouvelles exigences législatives, de conformités réglementaires ou de processus internes. En cette hypothèse, le refus pour le Fournisseur de signer l’Avenant y relatif entraîne le droit pour le Client de résilier le Contrat Cadre et les Contrats Spécifiques en découlant moyennant un préavis de trois (3) mois, donné par écrit, ce sans entraîner sa responsabilité de quelque manière que ce soit.
1.1.4 Le présent Contrat Cadre n’impliquant à lui seul aucune obligation de nature pécuniaire, les montants figurant sur chaque Contrat spécifique sont seuls pertinents pour déterminer si les
règles relatives à l’attribution des marchés publics au sens de l’Accord Intercantonal sur les Marchés Public du 15 novembre 2019 (AIMP ; BLV 726.19) trouvent application.
1.1.5 Interdiction est faite au Fournisseur d’exécuter quelque prestation que ce soit avant qu’un Contrat spécifique relatif au Projet n’ait été dûment exécuté entre les Parties.
1.2 Prestation de service
1.2.1 Contrat Spécifique
1.2.1.1 Le Fournisseur exécutera ses obligations envers le Client et les Utilisateurs autorisés pour les Services commandés aux termes d’un Contrat Spécifique dûment exécuté. Les références ultérieures au « Fournisseur » remplissant une obligation ou exécutant des Services seront réputées renvoyer à l'Entité du Fournisseur qui fournit les Services au Client. Dans la mesure où le Fournisseur ayant signé le Contrat cadre n'est pas l'Entité du Fournisseur devant fournir les Services conformément au Contrat Spécifique, le Fournisseur se portera garant de toutes les obligations et de l'exécution de tous les Services fournis par cette autre Entité du Fournisseur et par tout sous-traitant auquel il recourrait pour exécuter ces Services et demeurera responsable vis-à-vis du Client aux côtés de l’Entité du Fournisseur devant fournir les Services conformément au Contrat Spécifique.
1.2.1.2 Le Fournisseur s’engage à se déterminer sur toute demande d’offre du Client portant sur des Services d’application et/ou de plateforme aussi longtemps que le Contrat est en vigueur entre eux dans un délai de 10 (dix) Jours ouvrables après avoir reçu dite demande.
1.2.2 Étendue des services
1.2.2.1 Les Services qui seront fournis dans le cadre du présent Contrat et des Contrats spécifiques en découlant sont les Services d'application et de plateforme, respectivement les Services professionnels susceptibles d’y être liés et commandés par le Client.
1.2.2.2 Le Client peut demander des prestations de services supplémentaires (telle qu’une augmentation temporaire ou permanente du volume des services concernés) pendant la durée du Contrat et documenter tout amendement/addendum correspondant apporté à un Contrat Spécifique existant si nécessaire.
1.2.2.3 Toute modification demandée ou suggérée sera sujette au processus prévu dans la Clause 6.
1.2.3 Services d'application et de plate-forme
Dans le contexte de ce Contrat, les Services d’application (SaaS) consistent à :
• héberger le Logiciel/l'Application sur des Systèmes fonctionnant dans un centre de données répondant aux exigences en matière de sécurité attendues par le Client ; et
• permettre aux Utilisateurs autorisés, et le cas échéant à des tiers prédéfinis tel que prévu dans le Contrat Spécifique, d'accéder aux fonctionnalités des Services d'application et de les utiliser via le Logiciel/l’Application, et d'accéder aux Données client au moyen des comptes des Utilisateurs autorisés créés ; et
• fournir au Client la Documentation relative à l'utilisation des Services d'application.
Dans le contexte de ce Contrat, le Service de plateforme (PaaS) consiste à :
• faire fonctionner l'infrastructure/les systèmes dans des centres de données sécurisés ; et
• permettre au Client d'utiliser le stockage des ressources/données et les fonctionnalités d'un environnement de plateforme cloud pour permettre le déploiement d'Applications tierces ; et
• fournir au Client la Documentation relative à l'utilisation des Services de plateforme.
1.2.4 Services professionnels
1.2.4.1 Le Client est en droit de solliciter l’exécution de Services professionnels de la part du Fournisseur en tant qu’ils sont directement liés aux Services d’application et de plate-forme fournis par ce dernier.
1.2.4.2 Dans l’hypothèse où les Services professionnels ne seraient pas directement liés aux Services d’application et/ou de plateforme fournis par le Fournisseur ou qu’ils dépasseraient le montant de 30% du montant global du Contrat mais au moins 50'000 CHF par an, les Parties conviennent qu’elles signeront entre elles le contrat cadre de services professionnels du Client.
1.2.4.3 Le Client exercera le pouvoir de décision en ce qui a trait aux prestations de Services professionnels qui seraient convenues dans un Contrat Spécifique avec le Fournisseur. De manière générale, le Fournisseur aura en ce qui a trait aux Services qu’il s’engage à fournir la responsabilité de :
• déployer des ressources appropriées en personnel, des méthodes et des outils requis pour fournir les services professionnels ;
• garantir un haut niveau de normes professionnelles et de gestion ;
• répondre aux exigences en matière de prestations et de délais qui sont définis dans le Contrat Spécifique correspondant.
Dans l’hypothèse où les Services professionnels convenus impliqueraient la réalisation de livrables, le Fournisseur, sans déroger à ses autres responsabilités et obligations en vertu du Contrat, aura la responsabilité de :
• gérer et contrôler la bonne exécution et réalisation de ces livrables ;
• garantir la qualité des livrables ;
• répondre aux spécifications et aux critères d'acceptation convenus par les Parties pour ces livrables, la procédure d’acceptation étant régie par la Clause 12; et
• respecter les dates prévues pour la réalisation de ces livrables.
1.2.5 Migration
1.2.5.1 Pour le cas où le Contrat Spécifique prévoit des prestations de migration de données du Client sur les Services d’application et/ou de plateforme faisant l’objet dudit Contrat Spécifique, le Fournisseur s’engage à soutenir le Client et à mettre à disposition toute la documentation nécessaire pour lui permettre de préparer la migration de manière autonome.
1.2.5.2 Lorsque des Prestation de migration de données du Client doivent être effectuées par le Fournisseur, le Client et le Fournisseur signent un Contrat Spécifique y relatif, qui respecte les principes de la présente clause.
1.2.5.3 Le Fournisseur doit en particulier :
a) Prévoir une phase d’identification et de description technique des données à reprendre ;
b) Décrire les règles et algorithmes de correspondance des données dans le nouveau système informatique ;
c) Définir les spécifications détaillées des interfaces nécessaires pour recevoir les données, les charger et les intégrer à l’ensemble des données, le chargement devant être fait par groupe de données cohérentes ;
d) Fournir au Client une planification détaillée de la migration qui doit être synchronisée avec la date d’exploitation prévue des Services d’application et/ou de plateforme par le Client ;
e) Xxxxxxx un plan de retour à la situation antérieure si la migration ne peut se dérouler comme prévu ; ce retour doit être possible après avoir convenu d'un délai d'exécution avec le client et ceci sans perte de fonctionnalités ni de données.
1.2.5.4 En cas de décomposition en lots différents entre ceux prévus par le Client et ceux organisés par le Fournisseur, il conviendra de prévoir des périodes transitoires pendant lesquelles les
données du Client seront simultanément mises à jour dans l’ancien et le nouveau système informatique.
1.2.5.5 Pour les migrations, le Client dispose de quarante-cinq (45) jours ouvrables dès l’installation pour signaler au Fournisseur d’éventuels Défauts. Le Fournisseur est obligé de corriger les Défauts constatés à ses frais dans le délai convenu entre les Parties.
1.3 Signataires des contrats
1.3.1 Tous les Contrats Cadres entre le Client et le Fournisseur sont établis en deux exemplaires paraphés et signés par le Fournisseur et le Client par délégation du Conseil d'Etat.
1.3.2 Tous les Contrats Spécifiques sont établis en deux exemplaires paraphés et signés par le Fournisseur et par le représentant autorisé du Client, respectivement de l’État de Vaud.
1.3.3 La conclusion ou la modification des Contrats Cadres et des Contrats Spécifiques doit revêtir la forme écrite et ceux-ci doivent être signés par les représentants autorisés des deux parties.
1.3.4 Tous les Contrats Cadres et Contrats Spécifiques doivent être signés par des représentants autorisés du Fournisseur qui devra produire un extrait récent du registre du commerce et, le cas échéant, une procuration attestant des pouvoirs de représentation des signataires.
1.4 Documents contractuels
1.4.1 Les Services d’application et/ou de plateforme sont exclusivement régis par les documents contractuels suivants classés par ordre de valeur juridique décroissante :
1.4.1.1 Le Contrat Cadre et ses annexes.
1.4.1.2 Le Contrat Spécifique.
1.4.1.3 Le cahier des charges ou l’Appel d’offres du Client.
1.4.1.4 L’Offre du Fournisseur.
1.4.2 En cas de conflit entre les termes prévus dans un Contrat spécifique et le Contrat cadre, les termes du Contrat cadre prévaudront, à moins que le Contrat spécifique n’identifie expressément la clause du contrat cadre à laquelle il est dérogé.
1.4.2.1 En cas de conflit entre l’Accord de traitement de données personnelles (ATDP - Annexe E) et un autre document contractuel tel qu’énoncé à la Clause 1.1.1, l’ATDP prévaudra en tant que le conflit a trait à une question de protection des données couverte par ledit annexe.
1.4.3 Les documents contractuels expriment l’intégralité des obligations des parties et annulent et remplacent tout contrat, arrangement ou communication écrite ou orale antérieure, ayant le même objet que les présents documents contractuels pour tout nouveau Contrat Spécifique signé à partir de la date d’entrée en vigueur du présent Contrat.
1.4.4 Aucune autre condition générale ou spécifique communiquée par le Fournisseur ou à laquelle il est fait référence dans l’un des documents contractuels susmentionnés ne pourra être opposée au Client.
1.4.5 Tous les documents contractuels sont rédigés en français exclusivement.
2 OFFRE
2.1 Coûts et durée
2.1.1 L’Offre du Fournisseur et les coûts y relatifs sont gratuits.
2.1.2 Toute Offre du Fournisseur reste en vigueur pour une durée minimale de trois (3) mois si elle fait suite à une demande de devis effectué de gré à gré, respectivement de douze (12) mois
dans le cadre d’une procédure d’appel d’offres. Tout délai supérieur offert par le Fournisseur est réservé.
2.2 Divergences
2.2.1 Toute divergence de l'Offre par rapport au Contrat Cadre doit, sous peine d’invalidité, être explicitement mentionnée dans le Contrat spécifique et identifier la disposition contractuelle à laquelle il est dérogé. Elle ne lie le Client que si cette dérogation est ensuite retranscrite dans le Contrat Spécifique qui fait suite à cette Offre et est signé par les Parties.
2.3 Procédure
2.3.1 Les détails des prestations du Fournisseur se trouvent d’une part dans le cahier des charges établi par le Client et valant Appel d'offre (si applicable), d’autre part dans l'Offre du Fournisseur qui lui fait suite. Nonobstant une éventuelle lacune ou une absence du cahier des charges, le Fournisseur veillera à établir une Offre complète prenant en compte tous les points nécessaires à la bonne réalisation du Projet, et à requérir cas échéant toute information utile complémentaire auprès du Client.
2.4 Silence de l’offre
2.4.1 En cas de silence de l'Offre sur un point particulier requis par le cahier des charges, l'Offre est réputée complète et correspond en tous points aux exigences fixées dans le dit cahier des charges.
3 OBLIGATIONS DU CLIENT
3.1.1 Le Client s’engage à collaborer avec le Fournisseur et à lui fournir toute informations qui lui serait demandée par ce dernier pour assurer la bonne exécution des Services, notamment professionnels.
3.1.2 Le Client aura la responsabilité de désigner ses employés chargés d'interagir avec le Fournisseur.
4 OBLIGATIONS DU FOURNISSEUR
4.1 Secret de fonction
4.1.1 Le Fournisseur s’engage à prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer le respect du secret de fonction ancré à l’art. 320 CP auquel les parties sont toutes deux soumises, le Fournisseur en tant qu’auxiliaire du Client. Le Fournisseur ne peut à aucun moment donner accès aux, ou autrement communiquer ces données d’une façon qui enfreindrait le secret de fonction. Il s’engage en particulier à :
a) Former les Intervenants, sous-traitants et Entités du Fournisseur appelés à intervenir dans le cadre de l’exécution des Services sur le secret de fonction auquel ils sont tenus et sa signification ;
b) Prendre les mesures contractuelles nécessaires au respect dudit secret avec les susnommés ;
c) Prendre à ses frais dans la mesure du raisonnable les mesures techniques et organisationnelles que le Client juge essentielles pour assurer le respect du secret de fonction.
4.1.2 Le fournisseur s’assure également du respect effectif du secret de fonction par ses sous- traitants.
4.1.3 Le Fournisseur comprend que toute violation du secret de fonction imputable à lui ou soupçon d’une telle violation dûment documentée et non réfutée de manière convaincante par le Fournisseur entraîne le droit pour le Client de résilier avec effet immédiat le Contrat au sens de la Clause 18.3.1.1, sans que le Client encoure quelque responsabilité de ce fait. Le
Xxxxxxxxxxx s’engage en cette hypothèse à rembourser au Client tous les montants qui auraient été prépayés pour la période faisant suite à cette résiliation.
4.1.4 Si le Fournisseur fait l’objet d’une action ou d’une procédure légale tendant à la communication d’une information soumise au secret de fonction, ou si le Fournisseur reçoit un ordre basé sur des dispositions légales ou réglementaires de procéder à une telle communication, le Fournisseur informera immédiatement le client de ces circonstances, et, à la demande du Client, coopérera avec le Client pour s’opposer à cette communication.
4.2 Obligations de confidentialité
4.2.1 Généralités
4.2.1.1 Les Parties s’engagent à ne pas divulguer à des tiers toutes les Informations confidentielles qu’elles pourraient obtenir dans l’exécution du Contrat ou de tout Contrat Spécifique en découlant et de ne les exploiter que pour l’accomplissement légitime des Services.
4.2.1.2 Le Fournisseur s’engage à :
● prévenir en particulier ses Intervenants et autre personnel, y compris les sous-traitants, de leurs obligations de garder secrètes les Informations Confidentielles et les obliger à respecter leur confidentialité ;
● ne pas utiliser les informations de quelque manière que ce soit pour son propre compte ou ses intérêts, ou pour le compte ou les intérêts d'un tiers ;
● ne pas communiquer publiquement sur le Contrat et son objet conclu avec le Client, sauf s'il a obtenu l'accord écrit préalable du Client ;
● de toujours respecter ses politiques et procédures de sécurité, y compris les exigences prévues dans l’ATDP (l'Annexe E).
4.2.1.3 Les obligations de confidentialité s’étendent aux Intervenants du Fournisseur, obligations que le Fournisseur s’engage à leur faire respecter, en particulier par la mise en œuvre de la Clause 4.2.2.
4.2.1.4 Les dispositions légales, en particulier celles stipulées dans Loi fédérale sur la protection des données personnelles du 25 septembre 2020 (LFPD – RS 235.1), la Loi vaudoise sur la protection des données personnelles du 11 septembre 2007 (LPrD-VD – BLV 172.65) et la Loi vaudoise sur l’Information du 24 septembre 2002 (LInfo-VD – BLV 170.21), sont réservées.
4.2.1.5 Les obligations en matière de traitement confidentiel ne sont cependant pas applicables aux Informations confidentielles (i) dont la partie destinataire avait déjà connaissance avant de les recevoir et dont elle avait la libre disposition, (ii) qui ont été développées par une partie sans utilisation d'Informations confidentielles de l’autre partie, (iii) qui ont été obtenues par une partie de la part d’un tiers non tenu par une obligation de confidentialité ou (iv) qui sont tombées dans le domaine public sans violation des présentes obligations de confidentialité.
4.2.1.6 Ces obligations de confidentialité débutent avant même la conclusion des Contrats et subsistent après la fin de ceux-ci et l’accomplissement des Services.
4.2.1.7 Le Fournisseur ne peut en aucun cas transmettre, communiquer ou divulguer des Informations confidentielles hors du territoire suisse et la consultation de ces Informations confidentielles depuis l’étranger est interdite.
4.2.1.8 Si le Fournisseur fait l’objet d’une action ou d’une procédure légale tendant à la communication d’une Information Confidentielle, ou si le Fournisseur reçoit un ordre basé sur des dispositions légales ou réglementaires de procéder à une telle communication, le Fournisseur informera
immédiatement le Client (dans la mesure permise par la loi) de ces circonstances, et, à la demande et aux frais du Client, coopérera avec le client pour s’opposer à cette communication.
4.2.2 Charte de confidentialité
4.2.2.1 Le Client peut demander au Fournisseur de signer, respectivement de faire signer à ses employés ou Sous-traitants impliqués dans l’exécution des Services, une charte de confidentialité (Xxxxxx X).
4.2.2.2 La signature de ces chartes de confidentialité est une condition préalable à tout accès aux locaux, aux applications informatiques ou aux données du Client.
4.2.3 Procédures de sauvegarde et plan de continuité des activités
4.2.3.1 Les sauvegardes et la reprise après catastrophe sont exécutées conformément aux exigences posées par l’annexe F.
4.2.4 Recours
4.2.4.1 Les Parties principales, respectivement chaque Partie prenant part à un Contrat Spécifique reconnaissent que la violation de la présente Xxxxxx peut causer des dommages irréparables à l'autre Partie et que le seul octroi de dommages-intérêts pourrait constituer un remède insuffisant. Ainsi, les Parties conviennent qu'en cas de violation ou de menace de violation de la présente Clause par le co-contractant, la Partie concernée sera en droit de solliciter l’octroi d’une mesure injonctive par voie d’extrême urgence ou provisionnelle, de conclure à une exécution en nature ou tout autre voie de droit similaire accordée par un tribunal compétent.
4.2.5 Peine conventionnelle en matière de confidentialité
4.2.5.1 Si le Fournisseur ou un Intervenant, y compris les Sous-traitants, viole une obligation de confidentialité, le Fournisseur devra s’acquitter d’une peine conventionnelle en mains du Client, à moins qu’il ne prouve que ni lui-même ni ses Intervenants n’ont commis de faute.
4.2.5.2 La peine s’élève à dix pourcents (10%) du coût total de la valeur du Contrat Spécifique concerné, hors TVA par cas, mais au maximum à CHF 200'000.-.
4.2.5.3 Le paiement de la peine conventionnelle ne libère pas le Fournisseur de ses obligations de confidentialité. Demeure réservée l’action en dommages et intérêts, sur lesquels la peine conventionnelle dûment reçue par le Client est imputable.
4.3 Autorisations
4.3.1 Le Fournisseur garantit avoir obtenu tous les consentements et autorisations gouvernementales nécessaires pour fournir les Services, et s’engage à payer tous les frais associés à leur obtention. Dans l’hypothèse où le Client subirait une Perte résultant de la violation de cette garantie, le Fournisseur s’engage à indemniser intégralement le Client.
4.4 Erreurs de traitement des informations, incapacité d'utilisation
4.4.1 En cas d'erreurs de traitement des informations causées par le Fournisseur, le Fournisseur devra la corriger rapidement après en avoir été informé par écrit par le Client (le courriel valant écrit), sans frais supplémentaires pour le Client. En cas d'erreurs de traitement causées par l'envoi de données inexactes ou incomplètes par le Client ou un tiers (excluant un sous-traitant) ou par d'autres causes dont le Fournisseur n'est pas responsable, le Fournisseur devra rapidement corriger ces erreurs après en avoir été informé par écrit par le Client et aux frais raisonnables du Client.
4.5 Intervenants
4.5.1 Le Fournisseur s’engage à mettre en œuvre les moyens humains nécessaires pour permettre la bonne exécution de ses Services au travers d’Intervenants qualifiés, ainsi qu’à maintenir en
permanence cet effectif y compris pendant les périodes de congés, les absences pour maladie ou formation du personnel affecté.
4.5.2 Les Intervenants du Fournisseur restent en toutes circonstances sous son autorité hiérarchique. À ce titre, il veille notamment à ce que ses Intervenants respectent les prescriptions d’hygiène et de sécurité applicables au sein des établissements du Client dans lesquels il est conduit à intervenir, et à faire en sorte que son personnel respecte toute instruction qui serait communiquée à cet égard par le Client.
4.5.3 Le Client peut exiger que les Intervenants du Fournisseur suivent des formations internes relatives à l’exécution des Services. Ces formations couvrent des sujets généraux tels que le secret professionnel, la sécurité, la protection des données personnelles, la confidentialité, etc., ainsi que des sujets spécifiques aux Services concernés. Les accès aux systèmes/environnements du Client peuvent être conditionnés à la réussite de ces formations internes.
4.6 Sous-traitance
4.6.1 Définition
4.6.1.1 Doit être compris comme « sous-traitant » au sens du présent Contrat toute personne morale ou physique, Entité du Fournisseur ou entité tierce qui apporte une contribution déterminante à l’exécution du contrat. Est ici réservée la notion de sous-traitance au sens du droit de la protection des données personnelles telle que prévue dans l’Accord de traitement de données personnelles (ATDP – Annexe F).
4.6.2 Sous-traitance de deuxième et troisième niveau
4.6.2.1 Le recours à la sous-traitance de troisième niveau est interdit.
4.6.2.2 Le recours à la sous-traitance de deuxième niveau (sous sous-traitant) doit être justifié par des justes motifs de nature technique, organisationnelle ou de compétence.
4.6.2.3 La présente Clause 4.6 s’applique par analogie à tout éventuel sous-traitant de deuxième niveau (sous sous-traitant).
4.6.3 Obligations et responsabilités
4.6.3.1 Le Fournisseur fera uniquement appel aux sous-traitants préalablement annoncés et approuvés par écrit par le Client, avant de débuter l’exécution des prestations. Il en va de même de tout éventuel recours par un sous-traitant à un sous sous-traitant.
4.6.3.2 Tout changement de sous-traitant doit reposer sur des justes motifs. Le nouveau sous-traitant doit disposer des mêmes compétences et qualifications que le précédent sous-traitant proposé et répondre aux conditions d’Appel d’offres (si applicables). Le nouveau sous-traitant doit également être annoncé et approuvé par écrit au Client avant de débuter l’exécution de ses prestations.
4.6.3.3 Le Fournisseur reste pleinement responsable envers le Client de la fourniture des Services accomplis par des sous-traitants ou éventuels sous sous-traitants.
4.6.3.4 Le Fournisseur assume l'entière responsabilité des actions réalisées par lui-même, par les Entités du Fournisseur, par ses sous-traitants et éventuels sous sous-traitants, ainsi que par leurs employés respectifs
4.6.4 Choix du sous-traitant
4.6.4.1 Le Fournisseur sélectionnera ses sous-traitants avec tout le soin nécessaire en s’assurant que chaque sous-traitant dispose des compétences nécessaires, d’un personnel qualifié et travaille dans le respect des exigences posées en matière de confidentialité, de protection des données personnelles et du secret de fonction auquel le Client est lié, ce dont le Fournisseur s’assurera par la mise en place de mesures techniques, organisationnelles et contractuelles qu’il juge
nécessaires, respectivement que le Client peut exiger de sa part. Il en va de même de tout éventuel recours par un sous-traitant à un sous sous-traitant.
4.6.4.2 Le Fournisseur veillera à ce que tous ses sous-traitants travaillent dans le respect des exigences posées par les Annexes E et F en matière de traitement de données personnelles et de sécurité, ainsi que dans le respect du cadre réglementaire applicable, notamment en ce qui a trait aux données personnelles et au secret de fonction.
4.6.4.3 Conformément à l'Annexe F, le Fournisseur devra continuellement, au minimum une fois par an, vérifier les performances et la conformité des Entités affiliées ou sous-traitants par rapport au traitement des Données client et/ou des données personnelles et remettre ces rapports au Client.
4.6.4.4 En cas de sous-traitance, le Fournisseur s’engage à fournir :
a) Le nom et le siège de tous les sous-traitants en suisse et à l’étranger
b) L’objet et la part des prestations qui sont sous-traitées
c) Des preuves de l’aptitude du sous-traitant et possibles références avec lesquelles le client sera en droit de prendre contact
4.6.5 En cas de violation
4.6.5.1 La violation de la présente Xxxxxx donnera le droit au Client de mettre fin au Contrat ou au Contrat Spécifique avec effets immédiats au sens de la Clause 18.3.1.1.
4.7 Conditions de travail, protection des travailleurs, égalité de traitement entre hommes et femmes, protection de l’environnement
4.7.1 Pour les prestations fournies en Suisse, le Fournisseur s’engage à respecter les dispositions relatives à la protection des travailleurs au sens de l’art. 3, let. e AIMP, les conditions de travail en vigueur au sens de l’art. 3, let. d AIMP, les obligations en matière d’annonce et d’autorisation au sens de la loi fédérale du 17 juin 2005 sur le travail au noir (LTN ; RS 822.41), ainsi que les dispositions relatives à l’égalité de traitement salarial entre femmes et hommes.
4.7.2 Le Fournisseur s’engage à respecter les dispositions relatives à la protection de l’environnement et à la préservation des ressources naturelles en vigueur au lieu de prestation.
4.7.3 Pour les prestations exécutées à l’étranger, le Fournisseur s’engage à respecter au minimum les conventions fondamentales de l’Organisation internationale du travail mentionnées à l’annexe 3 de l’AIMP.
4.7.4 Si le Fournisseur fait appel à des sous-traitants, pour l’exécution du contrat, il s’assure que ceux-ci respectent toutes les obligations mentionnées aux paragraphes qui précèdent, en les surveillant et en organisant des contrôles à cet effet. Le Fournisseur oblige par contrat ses sous-traitants à respecter les obligations susmentionnées.
4.7.5 Pour chaque violation par le Fournisseur ou par l’un de ses sous-traitants de l’une des obligations mentionnées aux paragraphes qui précèdent, le Fournisseur doit payer au Client une peine conventionnelle s’élevant à
- pour les Contrats inférieurs à CHF 250'000.- HT : 10% du prix total prévu dans le Contrat Spécifique par violation ;
- pour les Contrats entre CHF 250'000.- et 500'000.- HT : un montant fixe de CHF 25'000.- HT par violation ;
- pour les Contrats supérieurs à CHF 500'000.- HT : 5% du prix total prévu dans le Contrat Spécifique jusqu’à un montant maximal de CHF 100'000.- HT par violation.
4.7.6 Par violation, on entend notamment celle d’une disposition légale, d’une disposition issue d’une convention collective de travail (étendue ou non) ou d’une disposition issue d’un contrat-type de travail (édicté ou non en application de l’art. 360a CO), relative à la protection des travailleurs, aux conditions de travail, aux obligations en matière d’annonce et d’autorisation au sens de la loi sur le travail au noir (LTN), à l’égalité de traitement salarial entre femmes et
hommes, à la protection de l’environnement et à la préservation des ressources naturelles en vigueur au lieu de prestation.
4.7.7 En cas de récidive, le Client a la faculté de majorer le montant de la peine conventionnelle de 25%. Il y a récidive lorsqu’une ou plusieurs violations ont été sanctionnées par application de la peine conventionnelle et qu’une nouvelle violation intervient. Toute récidive sera en tout cas considérée comme une violation substantielle du Contrat au sens de la Clause 18.3.1.1, toute autre violation substantielle étant réservée.
4.7.8 La peine conventionnelle est exigible au jour de la violation desdites obligations.
4.8 Autorisation pour le personnel étranger
4.8.1 Le Fournisseur a la responsabilité de s’assurer du respect de la loi fédérale sur le service de l’emploi et la location de services du 6 octobre 1989 (LSE ; 823.11) et autres lois en vigueur. Dans le cas contraire, le Fournisseur effectue à ses frais et sous sa seule responsabilité les démarches administratives en vue de l'obtention du permis nécessaire afin d'être en règle avec les autorités suisses avant le début des activités. La preuve des autorisations reçues sera transmise au Client.
5 CONDITIONS FINANCIÈRES
5.1 Coûts
5.1.1 Le prix et les modalités financières afférents aux Services d’application et/ou de plateforme sont exprimés en principe en Francs suisses, définis dans un Contrat Spécifique et se comprennent toutes taxes comprises. Avec l’accord des parties, les prix peuvent être exprimés en Euros ou en Dollars US. Ce coût inclut tous les frais inhérents aux Services, en particulier les frais de formation, d’achat de logiciels et de matériels, de locaux ou, de documentation, nécessaires à l'exécution des prestations par le Fournisseur.
5.1.2 Le prix du Contrat Spécifique est indiqué hors TVA et TVA incluse.
5.1.3 Le Fournisseur ne facturera pas au Client le temps nécessaire à l’établissement d’une analyse préalable (devis) ou les déplacements effectués à cette fin.
5.1.4 Le prix doit être, à la signature du Contrat Spécifique, au moins aussi bas que les prix pratiqués par le Fournisseur pour l’octroi des Services d’application et/ou de plateforme à d’autres clients. Sur demande du Client, le Fournisseur s'engage à informer le Client que cet engagement a été respecté dans le cadre de transactions dans lesquelles le Fournisseur a pu s'engager ultérieurement à la date de signature du Contrat. Si le Fournisseur n'est pas en mesure de fournir une telle confirmation, le Fournisseur proposera au Client un ajustement adéquat du prix du Contrat. En tous les cas, le Fournisseur s’engage à proposer ses Services d’application et/ou de plateforme au Client, pendant toute la durée du Contrat, à des prix et conditions financières non majorées par rapport à ses tarifs standards en vigueur.
5.1.5 Hormis les augmentations associées à une augmentation des paramètres d'utilisation (le cas échéant), les tarifs et/ou les coûts mentionnés dans le Contrat Spécifique ne doivent pas être augmentés pendant la Durée initiale de tout Contrat Spécifique. Toute augmentation faisant suite à cette période ne pourra avoir lieu que tous les trois ans et correspondre suivant l’augmentation la plus faible à (i) l'augmentation de l’indice suisse des prix à la consommation pour la période s’étant écoulée durant la période concernée, ou (ii) à 2% par rapport au dernier prix convenu.
5.2 Dépenses
5.2.1 Toutes les dépenses que le Fournisseur devrait encourir et qu’il estimerait ne pas être incluses dans les tarifs ou les coûts convenus exigeront l'accord écrit préalable du Client.
5.3 Taxes
5.3.1 Le Client retiendra tout impôt à la source sur les paiements au Fournisseur si cela est exigé par un gouvernement et paiera ces impôts à l'autorité fiscale appropriée. Le Client fera de son mieux pour s'assurer que les taxes retenues sont minimisées dans la mesure du possible en vertu de la loi applicable et fournira tous les documents nécessaires pour permettre au Fournisseur de demander le remboursement de la retenue d'impôt en vertu du traité fiscal applicable, le cas échéant. Le Fournisseur fournira des efforts raisonnables pour récupérer cette retenue d'impôt. Si une partie de la retenue d'impôt n'est pas récupérable (y compris la compensation de la retenue d'impôt avec l'impôt payé par le Fournisseur), les Parties conviendront de bonne foi du partage du coût fiscal qui en résulte.
5.3.2 Aux fins de la présente Clause, les retenues à la source sont définies comme étant toute retenue à la source ou autres déductions et obligations imposées par toute autorité légale, gouvernementale ou autre aux paiements effectués par le Client au Fournisseur.
5.4 Modalités de paiements
5.4.1 Les factures sont payables à trente (30) jours dès réception de la facture correctement libellée, pour le montant non contesté. La forme des factures émises par le Fournisseur doit être approuvée par le Client et doit comporter les informations raisonnablement précisées par le Client.
5.5 Retards
5.5.1 Le Fournisseur doit informer le Client des retards de paiement, qui seront réglés à l'amiable entre les Parties, sans donner au Fournisseur le droit de suspendre l'exécution des Services.
6 PROCÉDURE DE CONTRÔLE DES MODIFICATIONS
6.1 Demande de modification
6.1.1 Si l'une des Parties souhaite proposer une modification par rapport aux Services souscrits dans le cadre d’un Contrat Spécifique qui (i) pourrait entraîner une hausse des coûts pour le Client ou qui (ii) pourrait accroître de manière défavorable les obligations d'une Partie, elle fera cette proposition en soumettant une demande de modification à l'autre Partie, en y incluant tous les détails raisonnables concernant la nature de la modification. Toutes les modifications suggérées par le Fournisseur doivent être approuvées par écrit par le Client avant leur mise en œuvre.
6.2 Procédure
6.2.1 Dans les dix (10) jours ouvrables faisant suite à une demande de modification émise par le Client, le Fournisseur fournira à ses frais une proposition écrite au Client concernant la modification qui inclura, sauf indication contraire du Client :
a) les détails relatifs à la modification proposée et son impact potentiel sur les Services, y compris toute modification apportée aux spécifications, aux Niveaux de Service, au plan de reprise après catastrophe, aux frais ou autres variations requises du Contrat / Contrat Spécifique ; et
b) une déclaration des coûts de mise en œuvre de la modification concernée, ainsi qu'un calendrier pour sa mise en œuvre.
6.2.2 Le Client étudiera la proposition écrite et répondra au Fournisseur dans le délai de dix (10) jours ouvrables après l’avoir reçue. Toute acceptation sera subordonnée à la signature d’un accord écrit entre les Parties pouvant prendre la forme d’un avenant au Contrat Spécifique
concerné ou d’un nouveau Contrat Spécifique. Si les Parties ne parviennent pas s'entendre sur une proposition et que ce désaccord nuit à la bonne exécution du Contrat Spécifique concerné, chaque Partie pourra transmettre le problème au Niveau Supérieur conformément à la Clause 23. Le Fournisseur prendra toutes les mesures raisonnables nécessaires pour éviter ou minimiser les frais supplémentaires résultant d'une modification.
7 DROIT D'UTILISATION DES SERVICES ET MISES À JOUR DES SERVICES
7.1 Droit d'accès aux Services et mises à jour des Services
7.1.1 Le Fournisseur accorde au Client une licence incessible pendant la Durée prévue dans le Contrat Spécifique à compter de la date d’activation des Services d'application et/ou de plateforme :
(a) pour utiliser ces Services, les Mises à jour des Services et la Documentation fournie au Client, et permettre aux Utilisateurs autorisés d'y accéder et de les utiliser ;
(b) pour saisir et permettre aux Utilisateurs autorisés de saisir des Données client dans les Applications et/ou les Applications tierces via le Portail web du Fournisseur ou toute autre partie des Systèmes des Services de plate-forme du Fournisseur, de charger et de télécharger les Données client disponibles via les Applications et/ou les Applications tierces ou via d'autres Logiciels (utilisés comme des Services de plate-forme) et d'utiliser/de partager librement ces Données client au sein du Client, respectivement à de tierces entités auprès desquelles le partage répond aux finalités des Données concernées ; et
(c) pour permettre aux Utilisateurs autorisés d'utiliser toutes les fonctions des Services d'application et de plate-forme (via les fonctionnalités pertinentes des Logiciels et les Systèmes mis à la disposition du Client) et de ne pas entraver ou gêner l'utilisation par le Client et les Utilisateurs autorisés d'Applications tierces déployées dans les Systèmes du Fournisseur.
7.1.2 Pour éviter toute ambiguïté, les Mises à jour des services fournies au Client feront partie des Services d'application ou de plate-forme (le cas échéant). En outre, la maintenance et le support tels que définis en Annexe D seront inclus dans les frais d'utilisation des Services d'application et/ou de plate-forme.
7.2 Applications successives
7.2.1 Les Applications successives doivent être traitées comme les Mises à jour de services, de sorte que le Client a en tout temps en droit de bénéficier dudit produit combiné en tant que Mise à jour des services.
7.3 Transgression des paramètres d'utilisation
7.3.1 Les droits d'accès aux Services d'application et/ou de plate-forme, tels qu'ils sont décrits dans la Clause 7 ci-dessus, peuvent voir leur nombre d'utilisateurs consécutifs restreints ou faire l'objet d'autres restrictions de capacité des ressources du Système (« Paramètres d'utilisation »). Ces Paramètres d'utilisation sont définis explicitement dans le Contrat Spécifique concerné.
7.3.2 En cas de transgression des Paramètres d'utilisation, le seul recours du Fournisseur sera de demander une réduction de l'utilisation afin de se conformer pour l'essentiel aux Paramètres d'utilisation et/ou, si la transgression est permanente ou répétée, d'exiger du Client qu'il paye des frais supplémentaires proportionnels au degré et à la durée de la transgression au tarif convenu dans le Contrat Spécifique concerné.
7.3.3 Si le Contrat Spécifique ne contient aucune précision quant aux Paramètres d'utilisation, la licence accordée ne sera pas restreinte et il sera possible d'accéder au Logiciel et de l'utiliser
à partir de tout appareil par tout nombre d'utilisateurs, ce conjointement avec tout autre logiciel dans toute la mesure possible.
7.4 Interdiction de monétisation par le Client
7.4.1 Le Client s’interdit d’utiliser ou permettre la monétisation des Services d'application ou de plate- forme au profit de tiers et devra veiller à ce qu'aucun Utilisateur autorisé auquel il accorde un accès au Portail web du Fournisseur n'utilise ou ne permette la monétisation de ces Services au profit de tiers.
7.5 Restrictions d'utilisation générique
7.5.1 Interdiction est faite au Client, qui s’assurera du bon respect de cette clause par les Utilisateurs autorisés de :
a) utiliser les Services d'application ou de plate-forme en dehors du contexte du Portail web du Fournisseur ou à des fins autres que celles prévues dans le présent Contrat et le Contrat Spécifique concerné ;
b) tenter de supprimer du Portail web du Fournisseur, de télécharger, de copier, de recréer, de décomposer, de modifier, de traduire, de procéder à des actes d’ingénierie inverse ou de décompiler tout code utilisé dans le cadre des Services d'application et de plate-forme (sauf si le Fournisseur fournit au client une autorisation expresse ou lui en donne le droit dans un Contrat Spécifique/ ou conformément à la Documentation) ;
c) supprimer, modifier ou masquer toute mention de protection par les droits d’auteur ou autre avis de propriété sur le Portail web du Fournisseur ou dans toute autre partie de ses Systèmes ;
d) vendre, louer, sous-licencier ou transférer de toute autre manière le droit d'utilisation des Services d'application ou de plate-forme accordé au Client ;
e) utiliser les Services d'application ou de plate-forme pour transmettre ou stocker tout courrier indésirable ou matériel obscène.
7.6 Utilisation de mots de passe
7.6.1 Le Client reconnaît et convient que les Services d'application ne sont accessibles que par saisie du mot de passe spécifique d'un Utilisateur autorisé. Le Client sera seul responsable d’assurer la sécurité et la confidentialité des mots de passe délivrés à chaque Utilisateur autorisé. Le Client informera rapidement le Fournisseur en cas d'accès non autorisé réel ou soupçonné aux Services d'application.
8 NIVEAUX DE SERVICE ET NORMES DE PERFORMANCE
8.1 Généralités
8.1.1 Le niveau de performance attendu quant aux Services d'application et de plateforme fournis par le Fournisseur sera en toute hypothèse toujours conforme aux Niveaux de service convenus en Annexe D.
8.2 Pénalités relatives aux niveaux de services
8.2.1 Le montant des pénalités applicables en cas de manquements aux Niveau de service convenus sera calculé conformément à l'Annexe D. Ces pénalités ne remplissent cependant pas la fonction d'indemnité forfaitaire et seront versées sans préjudice des autres droits et recours du Client résultant de ces violations.
8.3 Amélioration des services et technologies
8.3.1 Le Fournisseur améliorera continuellement les performances de ses Services, en accord avec l'évolution sur le marché de Services dont l'étendue, l'échelle et la couverture géographique
sont similaires. Le Fournisseur déploiera tous les efforts nécessaires pour se tenir au courant de ces évolutions technologiques et fournir des Services d’un niveau correspondant.
8.3.2 Dans l’hypothèse où le Fournisseur offrirait à tout autre client une technologie ou des ressources, systèmes ou processus susceptibles d'améliorer un élément du Service ou des Niveaux de service, le Fournisseur offrira les mêmes services au Client dans les meilleurs délais, selon le processus décrit à la Clause 6.
9 APPLICATIONS TIERCES ET FOURNISSEURS TIERS
9.1 Recours à des Application tierces.
9.1.1 Le Fournisseur s’engage à informer le Client de tout composant ou Application tierce qui serait soumise à des conditions de licence définies par de tierces entités titulaires des droits sur ces composants ou Applications. Le Fournisseur garantit que l’utilisation des Services conformément au Contrat sera conforme auxdites conditions et n’exposera pas le Client à quelque responsabilité que ce soit ; en cas de violation de la présente garantie, le Fournisseur s’engage à relever le Client de toute condamnation qui pourrait être prononcée à son encontre et l’indemniser de tout préjudice qui pourrait résulter de telles prétentions émanant d’un tiers (y compris en ce qui a trait à d’éventuels frais d’avocat), conformément à la Clause 17.
9.2 Acquisition d'Applications tierces
9.2.1 Le Fournisseur peut occasionnellement mettre à la disposition du Client des Applications tierces, hypothèse dans laquelle le Fournisseur garantit que la mise à disposition d'un environnement d'hébergement de cloud via les Services de plateforme pour le déploiement d'Applications tierces par ou pour le compte du Client n'entraînera pas une violation des conditions de licence de cette Application tierce ; à supposer que tel soit le cas, le Fournisseur s’engage à indemniser le Client de toute Perte résultant de cette violation, conformément à la Clause 17.
9.2.2 A supposer que le Client déploie de lui-même des Applications tierces via les Services de plateforme, il aura seul la responsabilité de respecter les conditions de licence des tiers et de veiller à la maintenance de ces produits tiers par les fournisseurs tiers concernés (sauf si le Fournisseur a accepté d'assumer l'assistance/la maintenance directement dans le cadre des services, selon ses propres accords avec ces tiers).
9.3 Applications tierces et Données client
9.3.1 Si le Client installe ou active des Applications tierces pour les utiliser avec les Services, il reconnaît que le Fournisseur peut permettre aux fournisseurs de ces Applications tierces d'accéder aux Données client si cela s’avère nécessaire pour assurer l'interopérabilité et le support de ces Applications tierces avec les Services, à condition toutefois que le Client soit informé à l'avance de cet accès et donne son consentement préalable par écrit. Les Services permettront au Client de restreindre cet accès en empêchant les Utilisateurs autorisés d'installer ou d'activer des Applications tierces pour les utiliser avec les Services. En concluant des accords contractuels directement avec les fournisseurs des Applications tierces, le Client aura la responsabilité de garantir la protection adéquate et l’accès approprié aux Données client par ce tiers.
10 DROITS DE PROPRIÉTÉ INTELLECTUELLE SUR LES SERVICES D’APPLICATION ET DE PLATEFORME
10.1 Garantie
10.1.1 Le Fournisseur garantit qu'il détient tous les droits, notamment les Droits de propriété intellectuelle sur les Services d’application et de plate-forme, respectivement qu’il a le droit d’utiliser, de distribuer ou de sous-licencier les technologies de tiers faisant partie de ces Services. Si le Fournisseur distribue des produits de tiers, il assistera le Client dans ses
relations avec le fournisseur tiers concerné et devra, si l'exercice des droits d'utilisation relatifs aux Services du Client sont entravés en raison de ces produits tiers, s’assurer que les licences y relatives peuvent être résiliées et rembourser au Client l’intégralité des frais de licence liés à ces produits ainsi que le prorata tous les frais de maintenance engagés pour la période en cours associée à ces produits.
10.2 Indemnisation
10.2.1 Le Fournisseur devra mettre hors de cause le Client, le défendre et l’indemniser à ses frais de toute Perte résultant d’une prétention, action ou allégation (« Réclamations ») d'un tiers à son encontre dans la mesure où la Réclamation découle d'une allégation de violation des Droits de propriété intellectuelle de ce tiers en raison de l’utilisation par le Client des Services, à condition toutefois que le Client :
10.2.1.1 informe rapidement le Fournisseur de cette réclamation ou allégation,
10.2.1.2 permette au Fournisseur d'assumer le contrôle des procédures et leur défense ou leur règlement en accord avec le Client, et
10.2.1.3 fournisse une assistance raisonnable au Fournisseur à la demande de celui-ci pour résoudre ces affaires, le tout aux seuls frais et dépens du Fournisseur.
10.2.2 En cas de condamnation finale au paiement dommages et intérêts résultant de l'une de ces Réclamations, le Fournisseur paiera ces dommages et intérêts, ainsi que tous les frais, dommages ou montants d'indemnisation auquel le Client se verrait le cas échéant condamné, mais ne sera responsable d'aucun règlement effectué sans son consentement écrit préalable.
10.3 Réclamation
10.3.1 En cas de Réclamation, et sans préjudice des dispositions précédentes, le Fournisseur devra, à son choix et à ses frais, tout en continuant à respecter les spécifications convenues dans le Contrat Spécifique concerné ou la Documentation et à condition que cela n'affecte pas de manière substantielle les fonctionnalités ou les performances des Applications, des Services de plate-forme ou le Portail web du Fournisseur :
10.3.1.1 modifier les Applications, les Services de plate-forme ou le Portail web du Fournisseur, le cas échéant, de façon à ce qu'ils n'entraînent plus de violation des droits de tiers ;
10.3.1.2 remplacer les Applications, Logiciels ou Systèmes des Services de plate-forme pour qu’ils ne portent plus atteinte aux droits de tiers,
10.3.1.3 remplacer la partie du Portail web du Fournisseur portant atteinte aux droits afin de remédier à cette violation,
10.3.1.4 tenter d'obtenir une licence du détenteur des Droits de propriété intellectuelle sur la partie concernée des Services ou le Portail web du Fournisseur, le cas échéant, ou
10.3.1.5 si aucune des options précédentes n'est disponible, résilier le Contrat (et/ou le Contrat Spécifique), droit que le Client sera également en droit d’exercer, et rembourser au Client tous les montants prépayés pour la période faisant suite à l’expiration du Contrat ou du Contrat Spécifique, ce sans préjudice de toute réclamation du Client au titre des dommages subis.
11 DROITS DE PROPRIÉTÉ INTELLECTUELLE SUR LES RÉSULTATS DES SERVICES PROFESSIONNELS
Tous les droits sur les livrables résultant de Services professionnels appartiennent au Client, sous réserve d’un accord contraire prévu par les Parties dans un Contrat Spécifique. La Clause 10 s’applique par analogie auxdits livrables.
12 RÉCEPTION DE LIVRABLES DANS LE CADRE DE SERVICES PROFESSIONNELS
12.1 Acceptation des livrables
12.1.1 Dans l’hypothèse où des Services professionnels en lien avec les Services d’application et/ou de plateforme seraient convenus entre les parties aux termes d’un Contrat Spécifique, le Client procédera à l'acceptation des livrables convenus en exécution de Service professionnels de la manière suivante (sauf accord contraire convenu dans le Contrat Spécifique concerné) :
12.1.1.1 Une fois les Services professionnels convenus terminés, le Fournisseur remettra au Client un avis écrit (le courriel satisfaisant à cette exigence) l'informant que les livrables sont prêts à être acceptés par le Client.
12.1.1.2 Le Client disposera de trente (30) jours ouvrables à compter de la réception des livrables (pour autant que l’avis mentionné à la Clause 12.1.1,1 ait été préalablement reçu) pour déterminer si ces livrables sont conformes aux spécifications convenues dans le Contrat Spécifique correspondant ou autre et informer le Fournisseur du résultat (« Période d'acceptation »).
12.2 En cas de non-acceptation
12.2.1 Si les tests d'acceptation révèlent que les livrables ne sont pas conformes aux critères d'acceptation, le Client les rejettera et le Fournisseur les corrigera dans un délai raisonnable décidé d'un commun accord avec le Client. Dans l’hypothèse où le Fournisseur s’avérerait incapable de remédier aux défauts constatés dans le délai convenu, le Client sera en droit de résilier le Contrat Spécifique concerné (à tout le moins en ce qui a trait aux Services Professionnels ou en son intégralité si la fourniture des Services d’application et/ou de plateforme ne fait aucun sens pour le Client sans la bonne exécution préalable des Services Professionnels) et demander le remboursement complet des frais payés par avance pour les livrables non conformes. A supposer que le Client ne fournisse ni acceptation ni rejet par écrit pendant la Période d'acceptation, les livrables seront réputées acceptés par le Client.
12.3 Retard
12.3.1 En cas de retard dans la livraison des livrables, le Fournisseur est tenu de s’acquitter d’une peine conventionnelle dans la mesure où il ne peut pas prouver que ni lui, ni les tiers mandatés par ses soins, n’ont commis de faute. Cette peine conventionnelle s’élève par délai non tenu et par jour de retard à 1/1000 de la rémunération globale, mais au totale à 10% au maximum de la rémunération globale du contrat en cas de prestation unique ou bien à la rémunération pour 12 mois en cas de prestation périodique. Le règlement de la peine conventionnelle ne libère pas le Fournisseur de ses autres obligations contractuelles. Les dommages et intérêts du client au titre de la Clause 16 demeurent réservés, auxquelles la peine conventionnelle est imputée.
13 DONNÉES DU CLIENT
13.1 Propriété
13.1.1 Le Fournisseur reconnaît que le Client possède tous les droits sur les Données client et Résultats des Services. Le Fournisseur n'acquiert aucun droit sur les Données client ou les Résultats des Services résultant du présent Contrat, hormis dans la mesure nécessaire pour permettre sa bonne exécution, à l’exclusion de tout autre.
13.1.2 Dans l’hypothèse où le Fournisseur serait amené dans le cadre de l’exécution des Services à être considéré comme le titulaire initial de droits sur les Données client ou Résultats des Services, il s’engage à céder par la présente immédiatement et gratuitement tous les Droits de
propriété intellectuelle sur ces Données au Client et Résultats des Services, et veillera à ce que tout sous-traitant en fasse de même.
13.2 Droit de licence
13.2.1 Dans ces limites, le Client accorde au Fournisseur un droit et une licence non exclusifs et limités pour accéder aux Données client et Résultats des Services pendant la durée des Services et pour en permettre la bonne exécution. Toute violation par le fournisseur de la présente Xxxxxx constituera une violation substantielle du Contrat et du Contrat Spécifique concerné, et donnera au Client le droit de résilier le Contrat et/ou le Contrat Spécifique concerné avec effets immédiats au sens de la Clause 18.3.1.1, tous dommages-intérêts étant de surcroît réservés.
13.3 Contrôle des accès
13.3.1 Le Fournisseur, ses Entités et ses sous-traitants ne tenteront pas d'accéder aux Données client, ni d’en permettre l’accès s’il n'est pas nécessaire pour exécuter les Services ou pour prévenir ou régler des problèmes techniques ou liés aux Services, effectuer la gestion des serveurs, connexions et réseaux, fournir des services techniques ou de mise en réseau, maintenir les opérations ainsi que résoudre des problèmes matériels (auquel cas cet accès sera dûment documenté, par exemple par l’ouverture d’un « ticket ») ou pour répondre à une demande du Client relative à des questions d'assistance technique. Le Fournisseur ne partagera pas ou ne fournira pas l'accès aux Données client et aux données de tiers au sein de son organisation sauf : (i) à ses employés et sous-traitants qui doivent connaître les Données client pour pouvoir exécuter les Services conformément aux Contrats spécifiques (ii) dans la mesure strictement nécessaire à l'exécution de leurs tâches et (iii) moyennant la signature d’un accord de confidentialité soumis par le Client pour signature en la forme prévue à l’Annexe G et (iv) l’identification préalable à la requête du Client de l’identité des personnes concernées. Le Fournisseur garantit le respect de la présente Xxxxxx par ses employés, Entités et sous-traitants et qu’il prendra toutes les mesures nécessaires pour que ces derniers respectent le secret de fonction ancré à l’art. 320 CP, ce sur quoi ils verront leur attention attirée.
13.4 Contrôles et obligations du Fournisseur
13.4.1 Le Fournisseur garantit qu'il respectera les obligations suivantes (et veille à ce que ses Entités et sous-traitants les respectent également) :
a) respecter la Fiche de données de sécurité prévue à l'Annexe F et les exigences et spécifications relatives aux Données client et/ou aux données personnelles ;
b) séparer et conserver séparément l'ensemble des Données client de celles de tout autre client ;
c) veiller à sélectionner avec soin ses employés et s'assurer de leur fiabilité et de leurs compétences, ainsi que de la fiabilité et des compétences des employés des Entités du Fournisseur et/ou des sous-traitants qui ont accès aux Données client ;
d) informer rapidement le Client, sauf si la loi le lui interdit, de toute demande, plainte, notification ou communication directement ou indirectement liée aux Données client, et fournir au Client la coopération et l'assistance nécessaires par rapport à cette demande, plainte, notification ou communication ;
e) informer le Client de toute modification importante envisagée par le Fournisseur à la Fiche de données de sécurité du Fournisseur avant sa mise en œuvre, étant précisé qu’une telle modification ne peut avoir lieu que pour améliorer la sécurité, et non la réduire ; et
f) sous réserve des politiques de sécurité et de confidentialité raisonnables du Fournisseur et pas plus d'une fois par an, fournir un accès direct sécurisé aux installations d'hébergement pendant les heures normales de bureau et, moyennant un préavis raisonnable, aux actifs et aux informations utiles aux enquêtes, examens de conformité et audits du Client ;
g) effectuer des contrôles réguliers pour garantir le respect des exigences énoncées dans la présente Xxxxxx ;
h) informer rapidement le Client de toute violation ou de toute violation raisonnablement suspectée de la présente Xxxxxx et lui fournir un rapport sur cette violation, commise par lui-même ou par l'un de ses employés, agents ou sous-traitants, ou l'une de ses Entités affiliées. Dans de telles circonstances, le Fournisseur prendra des mesures appropriées en concertation avec le Client pour sécuriser les données client et atténuer les dommages et violations éventuels ; dans la mesure où ces obligations doivent être remplies par le Client, le Fournisseur fournira l'assistance raisonnable requise conformément à ses obligations d'atténuation.
13.4.2 Le Fournisseur doit veiller à ce que tous ses employés ou tous les employés de ses Entités affiliées et/ou sous-traitants qui auront accès aux Données client et/ou aux données personnelles :
a) soient informés de la nature confidentielle des Données client et/ou des données personnelles ;
b) aient suivi une formation sur les obligations du Fournisseur conformément au présent Contrat et/ou au Contrat Spécifique, notamment en ce qui a trait aux données personnelles et au secret de fonction ;
c) connaissent les obligations du Fournisseur résultant du présent Contrat ;
d) soient soumis à des obligations de confidentialité strictes.
13.4.3 Le Fournisseur informera immédiatement le Client de toutes les actions ou mesures de contrôle d'une autorité de surveillance gouvernementale prise à son égard ou celle de ses Entités ou sous-traitants et liées au traitement des Données client et/ou des données personnelles, dans la mesure permise par la loi, mais quoi qu'il en soit pas plus tard que nécessaire pour permettre au Client de respecter ses propres obligations, sous réserve d'une indemnisation complète versée au Client pour toute Perte en résultant.
13.4.4 Le Fournisseur garantit qu'à sa connaissance, il n'existe au jour de l’entrée en vigueur du Contrat aucune réclamation, poursuite, enquête, controverse importante et aucun litige ou arbitrage en cours ou potentiel qui pourrait avoir un impact négatif important sur sa capacité à exécuter le Contrat et les Services résultant de tout Contrat Spécifique.
13.5 Pouvoir du Client de donner des directives
13.5.1 Le Fournisseur traitera uniquement les Données client et/ou les données personnelles conformément aux instructions du Client.
13.5.2 Le présent Contrat et les Contrats spécifiques en découlant établissent les lignes directrices et les instructions concernant la nature, l'étendue et les méthodes du traitement des Données client et/ou des données personnelles. Toutes les modifications quant aux finalités du traitement des Données client doivent être convenues d'un commun accord par les Parties concernées et documentées.
13.5.3 Le Fournisseur et sous-traitants ne créeront pas de copies et/ou de doubles des Données client sans que le Client en ait connaissance, réserve étant faite des back-up et sauvegardes, nécessaires pour garantir le traitement approprié des Données client et/ou des données personnelles dans le cadre de l’exécution des Services.
13.5.4 Le Fournisseur informera rapidement le Client s'il est d’avis qu'une directive du Client s’avère contraire à la réglementation applicable, hypothèse dans laquelle le Fournisseur a le droit de
suspendre la mise en œuvre des instructions concernées jusqu'à leur confirmation ou leur modification par le Client.
13.6 Correction, blocage et suppression des Données client pendant la durée du Contrat
13.6.1 Pendant la durée du Contrat, le Fournisseur, ses Entités affiliées et sous-traitants corrigeront, supprimeront ou bloqueront les Données client et/ou les données personnelles traitées dans le cadre de Contrats spécifiques conformément aux instructions écrites du Client.
13.6.2 Dans le cas où des Données client ou des données personnelles seraient corrompues, perdues ou altérées et deviendraient inutilisables en raison (i) du non-respect par le Fournisseur, ses Entités ou sous-traitants de l'Annexe F, (ii) de toute autre violation du présent Contrat, d’un Contrat Spécifique ou (iii) d'une négligence de la part du Fournisseur, ses Entités ou ses sous-traitants, le Fournisseur prendra à ses frais des mesures correctives pour restaurer les Données client et/ou les données personnelles, qui peuvent être raisonnablement demandées par le Client (sans préjudice des autres droits ou recours du Client résultant de cette violation). Dans toutes les autres circonstances, si les Données client et/ou les données personnelles sont corrompues, perdues ou dégradées sans que le Client puisse reprocher quelque négligence que ce soit de la part du Fournisseur, le Fournisseur prendra à la demande du Client et dans la mesure de ses capacités les mesures correctives raisonnablement nécessaires pour restaurer les Données client et/ou les données personnelles aux frais, à convenir préalablement, du Client.
13.6.3 À la demande du Client, le Fournisseur fournira en tout temps au Client une copie de toutes les Données client et/ou données personnelles qu'il détient en respectant le format et le support raisonnablement indiqués par le Client.
13.6.4 Les Données client chargées par le Client ne doivent pas : sciemment (i) violer une loi ou réglementation (ii) violer des Droits de propriété intellectuelle, (iii) contenir du matériel illégal, obscène, diffamatoire, menaçant ou à caractère haineux, ou (iv) contenir sciemment un virus ou autre Code malveillant (« Actes interdits »). Dans le cas où une Partie s'aperçoit qu'un élément des Données client ou des données personnelles constitue ou peut constituer un Acte interdit, les Parties conviennent de s'en informer mutuellement et de travailler ensemble rapidement et de bonne foi pour remédier aux problèmes constatés.
13.7 Retour et suppression des Données client et données personnelles après l’expiration du Contrat Spécifique et du Contrat
13.7.1 Le Fournisseur devra (sauf accord écrit du Client ou si la rétention des Données client est requise par la loi) (i) retourner dans les trente jours (30) suivant l’expiration du Contrat ou du Contrat Spécifique concerné toutes les Données client en un seul fichier répondant au format demandé par le Client (le cas échéant en permettant au Client de les extraire par une fonction export unique) et, ceci fait, (ii) détruire de façon permanente dans un délai de vingt (20) jours faisant suite à cette restitution toutes les données Clients fournies au Fournisseur et/ou de veiller à ce que ses Entités affiliées ou sous-traitants en fassent de même, y compris, de manière non limitative en ce qui a trait aux e-mails, « bacs à sable » (sandbox) et aux sauvegardes des Services. Le Fournisseur certifiera par écrit le respect de cette exigence par un représentant dûment autorisé.
14 PROTECTION DES DONNÉES PERSONNELLES
14.1.1 Le Fournisseur traitera (et veillera à ce que ses Entités affiliées et ses sous-traitants traitent) uniquement les données personnelles de manière conforme à (i) l’ATDP (Annexe E), (ii) toute
loi ou réglementation applicable. L'exécution de l'ATDP par les Parties constitue une condition suspensive à l’entrée en vigueur du Contrat et de tout Contrat Spécifique en découlant.
15 GARANTIES
15.1 Garantie de performance
15.1.1 Le Fournisseur garantit que les Services d'application et de plate-forme sont en tous points conformes aux spécifications décrites dans la Documentation détaillée et/ou dans la description des services (Annexe C). La garantie accordée aux Mises à jour sera identique à celle des Services d'application et de plate-forme. Le Fournisseur garantit de surcroît que la maintenance, notamment la Mise à jour des services, n'entraînera pas de détérioration importante des caractéristiques et des fonctionnalités des Services d'application et de plate- forme par rapport à la version initialement acceptée par le Client/fournie au Client. Toutefois, le Fournisseur ne garantit pas que les Services d'application ou de plate-forme fonctionneront sans aucune erreur ou interruption.
15.2 Garantie des livrables
15.2.1 Le Fournisseur garantit pendant une période de deux (2) ans que tout livrable exécuté conformément aux Services professionnels convenus dans un Contrat Spécifique sera conforme aux spécifications convenues. La période de garantie commencera à compter de la date de l'acceptation écrite du Client du livrable concerné. Tout défaut constaté et annoncé durant le délai de garantie sera traité conformément à la Clause 12.
15.2.2 Les défauts signalés durant la période de garantie doivent être corrigés gratuitement et sans retard par le Fournisseur, même si la correction des défauts n'est pas réalisée avant l’échéance du délai de garantie, hypothèse dans laquelle le Fournisseur s’engage également à mettre à jour la documentation y relative en tant que de besoin.
15.2.3 La période de garantie est suspendue durant le temps consacré à la rectification des défauts, ce jusqu’à ce que le livrable concerné soit exempt de défaut, et prolongée d’autant.
15.2.4 Le Fournisseur est dégagé de ses obligations de garantie des défauts pour le cas où le Client ou un tiers, à l’exclusion des Intervenants du Fournisseur, est exclusivement responsable des défauts constatés.
15.2.5 Le Fournisseur garantit en particulier que les livrables sont exempts de tout accès secret aux données de type « porte arrière » (« back door ») ou de tout accès qui serait assuré par un code d’identification programmé en dur (« hardcoded password »). Le Fournisseur garantit notamment que les livrables ne contiennent ni « rootkit » ni « ver » ni « Cheval de Troie » ni fonctions non documentées. La violation de cette clause sera considérée comme donnant le droit au Client de mettre fin au Contrat ou au Contrat Spécifique avec effets immédiats au sens de la Clause 18.3.1.1.
15.3 Garantie portant sur la désactivation des dispositifs
15.3.1.1 Le Fournisseur garantit qu'il n'a pas inclus et qu'il n'inclura à aucun moment dans les Services d’application et de plate-forme, respectivement dans les livrables résultant de l’exécution de Services professionnels de dispositif ou Code malveillant visant à (i) désactiver ou effacer tout Logiciel dans les Services d'application ou de plate-forme ou tout Logiciel dans des Applications tierces ou autres services, (ii) empêcher le Client d'utiliser pleinement les Applications, les Services de plate-forme ou d'autres éléments des Services dans les limites prévues par le Contrat, ou (iii) exiger une action ou une intervention du Client pour lui permettre d'utiliser tout ou partie des Applications (autre que l'utilisation requise d'un code d'accès par le Client) ou tout autre élément des Services.
15.3.1.2 Le Fournisseur garantit en particulier que les Services d’application et/ou de plateforme sont exempts de tout accès secret aux données de type « porte arrière » (« back door ») ou de tout accès qui serait assuré par un code d’identification programmé en dur (« hardcoded
password »). Le Fournisseur garantit notamment que les Services d’application et/ou de plateforme ne contiennent ni « rootkit » ni « ver » ni « Cheval de Troie » ni fonctions non documentées. La violation de cette clause sera considérée comme donnant le droit au Client de mettre fin au Contrat ou au Contrat Spécifique avec effets immédiats au sens de la Clause 18.3.1.1.
15.4 Recours pour violation de garantie
15.4.1 En cas de violation des garanties expresses accordées par le Fournisseur aux Clauses 15.1,
15.2 ou 15.3 ou aux autres Clauses de garanties du Contrat, le Fournisseur devra, le cas échéant, remplacer, modifier ou fournir à nouveau les Services non conformes dans un délai raisonnable convenu entre les Parties, sans qu’il n’en résulte de perte substantielle de fonctionnalité et/ou de performance pour le Client.
15.4.2 Si le Fournisseur s’avère incapable de remédier à la violation constatée comme susmentionné, cette violation sera réputée substantielle au sens de la clause 18.3.1.1 si les défauts, de l'avis raisonnable du Client, compromettent de manière significative l'utilisation par le Client des Services d'application ou de plate-forme ou la valeur commerciale pour le Client des livrables concernés. Le Client sera alors en droit de résilier le Contrat Spécifique concerné avec effet immédiat et se voir rembourser les éventuels montants prépayés pour la période faisant suite à l’expiration dudit Contrat spécifique. Tous dommages-intérêts sont réservés.
15.5 Exclusions de garantie
15.5.1 Le Fournisseur exclut expressément de l'étendue des garanties établies dans cette Clause 15 les hypothèse où la violation de ces garanties seraient le résultat direct de : (i) une utilisation des Services d'application et de plate-forme autre que celle prévue dans la Documentation, (ii) une utilisation du Portail web du Fournisseur en association avec des logiciels, du matériel informatique ou un autre matériel expressément interdits par le Fournisseur, (iii) toute altération, modification ou personnalisation du Logiciel dans les Applications réalisée par une partie autre que le Fournisseur ou les représentants autorisés du Fournisseur, ou sans autorisation écrite préalable du Fournisseur, et (iv) une utilisation avec toute intégration non développée par le Fournisseur.
15.6 Réclamations au titre de la garantie
15.6.1 Le Client devra informer rapidement par écrit le Fournisseur de toute réclamation. Si des violations de garantie sont identifiées, le Fournisseur devra y remédier rapidement sans frais supplémentaires pour le client, conformément aux conditions prévues par la présente Clause.
16 RESPONSABILITÉ
16.1 Principes
16.1.1 La responsabilité des Parties en lien avec les données personnelles est réservée et traitée dans l’Accord de traitement des données personnelles (ATDP - Annexe E), si un tel ATDP a été signé entre les Parties.
16.1.2 Le Fournisseur est responsable de toute faute de sa part ou de celle de ses auxiliaires, employés, Intervenants et sous-traitants comme de ses propres actes dans l’accomplissement de ses obligations contractuelles.
16.1.3 En cas de retard du fait du Fournisseur et/ou de ses Intervenants, les éventuels coûts supplémentaires et dommages y relatifs seront à la charge du Fournisseur.
16.1.4 Aucune des parties ne sera responsable envers l’autre partie pour tout dommage indirect, spécial, consécutif, pour tout manque à gagner, perte de revenus ou perte de données sous réserve de ce qui suit. Le Fournisseur répond du coût de restauration de données en cas de perte ou de détérioration de celles-ci par sa faute et s'il a débuté ses Services sans s’être
enquis auprès du Client de l’existence d’une sauvegarde exploitable concernant les données susceptibles d’être détruites.
16.2 Dommage et limitation de responsabilité
16.2.1 La responsabilité du Fournisseur sera limitée, pour toute année de contrat, au quintuple du prix annuel payé par le Client pour le Service concerné. Les limitations contenues dans la présente Xxxxxx ne s'appliqueront pas aux dommages corporels, ni aux Pertes subies par le Client en raison d'une violation des droits de propriété intellectuelle, d’indemnisation, de confidentialité, du secret de fonction, des obligations en lien avec les Données du Client ou de protection des données personnelles au sens de l’Accord de traitement des données personnelles (ATDP – Annexe E).
16.2.2 Sous réserve de la Clause 16.1.4, la responsabilité du Client pour toute Perte subie par le Fournisseur dans le cadre d’un Contrat Spécifiques sera limitée, pour toute année de contrat, au prix annuel payé par le Client pour le Service concerné.
16.2.3 Afin de garantir l'exécution de ses obligations conformément au Contrat et Contrats spécifiques en découlant, le Fournisseur garantit qu'il possède et conservera pour la durée du Contrat et une période de 12 mois à compter de sa date d’expiration (quelle qu'en soit la cause) au minimum les couvertures d'assurance suivantes, qui couvrent son exécution des obligations et Services ainsi que celle de toute Entité du Fournisseur :
a) Responsabilité civile générale (y compris les réclamations contractuelles de tiers) : CHF 2'000'000.-
b) Couverture des crimes et fraudes informatiques : CHF 5'000'000.-
c) Assurance contre les erreurs et omissions professionnelles : CHF 5'000'000.-
16.2.4 Avant la signature du Contrat, puis à chaque renouvellement de sa période d’assurance, le Fournisseur devra fournir au Client les attestations d’assurance correspondant aux garanties énumérées ci-dessus, en cours de validité, et précisant :
a) La liste des activités couvertes,
b) Les principales garanties et montants couverts,
c) Les franchises applicables.
16.3 Obligations de fourniture de prestations - pas d’interruption de service
16.3.1 Le fournisseur reconnaît expressément que l'exécution de ses obligations conformément au Contrat est essentielle au bon déroulement des opérations du Client. En conséquence, en cas de différend (y compris sur des questions financières), le fournisseur s'engage à continuer à se conformer à ses obligations contractuelles de bonne foi pendant la résolution de ce différend et jusqu'au moment où le Contrat sera, le cas échéant, résilié en conformité avec provisions ou le différend sera résolu, sans avoir le droit de suspendre ses prestations.
17 INDEMNISATION MUTUELLE
17.1 Indemnisation par le Fournisseur
17.1.1 Nonobstant les dispositions relatives à la responsabilité prévues dans la Clause 16, le Fournisseur devra mettre hors de cause le Client, le défendre et l’indemniser contre toute Perte subie ou contre toute réclamation, demande, poursuite ou procédure à son encontre, y compris toute amende ou pénalité prononcée par une autorité pénale ou de protection des données personnelles, dans la mesure où le Fournisseur aurait raisonnablement pu empêcher cette Perte en respectant ses obligations contractuelles, notamment les dispositions prévues dans la Clause 22, l'Annexe E et/ou l'Annexe F, ce qui lui incombe d’établir.
17.1.2 Cette obligation d’indemnisation s’étend également à toute Perte subie ou toute réclamation, demande, poursuite ou procédure intentée à l’encontre du Client par un tiers qui prétend que
l’utilisation des Services par le Client viole ses droits, en particulier des Droits de propriété intellectuelle.
17.1.3 L’indemnisation n’interviendra cependant qu’à la condition que le Client (i) informe rapidement le Fournisseur par écrit de la réclamation émise à son encontre, et (ii) apporte au Fournisseur une assistance raisonnable, aux frais de ce dernier.
17.2 Indemnisation par le Client
17.2.1 Nonobstant les dispositions relatives à la responsabilité prévues dans la Clause 16, le Client devra mettre hors de cause le Fournisseur, le défendre et l’indemniser contre toute Perte subie ou contre toute réclamation, demande, poursuite ou procédure intentée à son encontre par un tiers qui prétend que les Données client violent ses droits, notamment des Droits de propriété intellectuelle.
17.2.2 L’indemnisation n’interviendra cependant qu’à la condition que le Fournisseur (i) informe rapidement le Client par écrit de la réclamation émise à son encontre, et (ii) apporte au Client une assistance raisonnable, aux frais de ce dernier.
17.3 Recours exclusif
17.3.1 La présente Xxxxxx 17 stipule l'entière responsabilité de la Partie qui indemnise envers l'autre Partie pour tout type de réclamation émise par la Partie lésée en relation avec les événements susmentionnés.
18 ENTRÉE EN VIGUEUR, DURÉE ET RÉSILIATION
18.1 Durée
18.1.1 Le Contrat Cadre et les Contrats Spécifiques entrent en vigueur dès leur signature par les Parties. Le Contrat cadre s’applique, sauf accord contraire, à tout nouveau Contrat Spécifique signé à partir de la date d’entrée en vigueur du présent Contrat Cadre. Sauf disposition contraire, le Contrat Cadre est de durée indéterminée ; chaque Contrat Spécifique est de durée déterminée pour la période initiale convenue dans le Contrat Spécifique (« Durée initiale »).
18.1.2 A l’issue de la Durée Initiale et sauf accord contraire des parties, le Contrat Spécifique sera renouvelé automatiquement d’année en année. Le renouvellement sera confirmé par l’envoi d’un bon de commande émis par le Client à l’attention du Fournisseur trois (3) mois avant l’échéance du Contrat Spécifique. Si le Client omet d’envoyer un bon de commande, le Fournisseur enverra un rappel au Client. Le Client aura ensuite quinze (15) jours ouvrables pour envoyer ledit bon de commande ou annuler le renouvellement. Le Fournisseur aura le
droit d’informer le Client six (6) mois avant l’échéance annuelle qu’il n’entend pas continuer à fournir les prestations couvertes par le Contrat Spécifique.
18.1.3 Certaines obligations du Contrat Cadre, en particulier celles relatives à la confidentialité et aux garanties, perdurent au-delà de la fin des relations contractuelles.
18.2 Résiliation ordinaire
18.2.1 Le Contrat Cadre peut être résilié par le Client moyennant un préavis de trois (3) mois, pour la fin d’un mois. Le Client est en droit de résilier moyennant un préavis de trois (3) mois pour la fin d’un mois les Contrats Spécifiques.
18.2.2 Le Contrat cadre peut être résilié par le Fournisseur moyennant un préavis de douze (12) mois pour la fin d’un mois.
18.3 Résiliation extraordinaire
18.3.1 Chaque partie peut résilier sans délai et en tout temps le Contrat cadre ou un Contrat spécifique pour des motifs graves. Sont notamment considérés comme graves les motifs suivants :
18.3.1.1 La violation substantielle d'une disposition essentielle du Contrat Cadre et/ou d'un Contrat Spécifique par le Fournisseur (une violation substantielle inclura un évènement unique ou une série d'évènements mineurs persistants qui, ensemble, ont un impact négatif important sur les Services d’application et/ou de plateforme) qui n’est pas corrigée dans un délai de trente (30) jours faisant suite à une notification donnée par écrit (le courriel valant écrit) par la partie lésée. Tout défaut de maintenance ou de mise en œuvre d’un plan de reprise après catastrophe (disaster recovery plan) ou toute violation en matière de sécurité, secret de fonction, de confidentialité ou de protection des données donnera le droit au Client de résilier le Contrat
avec effet immédiat, sans que le Client ne doive impartir un délai de trente (30) jours au Fournisseur à titre de délai de grâce.
18.3.1.2 La violation de toute loi ou réglementation applicable au Fournisseur.
18.3.1.3 Le fait pour le fournisseur de porter atteinte de manière dûment documentée à la réputation du
client, notamment lorsque le fournisseur est impliqué dans des enquêtes pénales, etc.
18.3.1.4 Le non-respect de délai(s) par le Fournisseur (un retard de vingt (20) jours ouvrables pour la livraison d’un livrable convenue aux termes d’un Service professionnel est considéré comme un motif grave), sauf accord(s) contraire(s).
18.3.1.5 L’insolvabilité du Fournisseur, soit le fait qu’il fasse l’objet d’une procédure de liquidation, de faillite, d’un concordat ou d’un arrangement avec ses créanciers en général ou toute autre procédure analogue.
18.3.1.6 La Clause 26 de l’Annexe D est violée.
18.3.1.7 Les cas supplémentaires expressément visés dans d’autres dispositions du Contrat Cadre ou prévues par les Parties dans un Contrat Spécifique.
18.3.2 Le Client peut en outre résilier le Contrat Cadre ou un Contrat Spécifique avec un délai deux
(2) mois dans les cas suivants :
18.3.2.1 Perte annuelle du Fournisseur supérieure à la moitié de son capital-actions (y compris les réserves).
18.3.2.2 Réorientation stratégique du Fournisseur dans des domaines qui ne garantissent plus le strict respect des obligations résultant du Contrat.
18.3.2.3 Changement de contrôle au sein du Fournisseur, soit en particulier le cas où le Fournisseur a
(i) cédé au moins 50% (cinquante pourcents) des droits de vote ou (ii) perdu le contrôle du conseil d’administration.
18.3.2.4 Le fait que, nonobstant le droit applicable prévu à la Clause 26.1, le Fournisseur fait l’objet d’une ingérence de la part d’autorités étrangères se prévalant de l’applicabilité d’un droit étranger.
18.4 Effet de l’expiration du Contrat
18.4.1 La résiliation d’un ou de tous les Contrats Spécifiques n’emporte pas la résiliation du Contrat Cadre.
18.4.2 Sous réserve d’un accord contraire, la résiliation du Contrat cadre n’implique pas non plus la résiliation automatique des Contrats Spécifiques alors en cours, lesquels perdurent (dans leur entièreté, clauses du contrat cadre incluses) jusqu’à leur pleine et entière exécution pour l’échéance contractuelle prévue, étant cependant précisé que les Parties ne peuvent pas conclure de nouveau Contrat Spécifique à partir du moment où le Contrat Cadre a été résilié et que les Contrats Spécifiques en cours expireront à leur échéance sans possibilité de les voir renouveler.
18.4.3 Dans un délai de quarante-cinq (45) jours à compter de l’expiration du Contrat ou d’un Contrat Spécifique, ce quelle qu’en soit la raison, le Fournisseur est tenu de remettre au Client, respectivement de détruire tous les documents et Informations Confidentielles reçus du Client ou auxquels le Fournisseur aurait eu accès.
18.4.4 Dans un délai de quarante-cinq (45) jours à compter de l’expiration du Contrat, ce quelle qu’en soit la raison, le Fournisseur est tenu de remettre au Client tous les livrables quel que soit leur stade d’exécution et tout document y relatif dont la livraison était convenue en matière de Services professionnels.
18.4.5 Le Client s’engage à verser au Fournisseur les montants dus pour les Services professionnels effectuées à la satisfaction du Client au prorata de leur avancement au jour où la résiliation prend effet. Le Fournisseur s’engage de son côté à rembourser les montants prépayés pour
des Services (qu’ils soient professionnels, d’application ou de plateforme) qui n’auraient pas été exécutés au moment de l’expiration du Contrat ou du Contrat Spécifique concerné.
18.5 Assistance lors de la résiliation
18.5.1 Sur demande du Client, le Fournisseur continuera à fournir les services pendant nonante (90) jours supplémentaires après la date d’expiration du Contrat et/ou des Contrat spécifiques (« Période de transition ») en respectant les mêmes conditions et tarifs que ceux appliqués immédiatement avant la date d’expiration pour cette Période de transition.
18.5.2 En tant que besoin, le Fournisseur s’engage à apporter sa pleine et entière collaboration en permettant au Client de (i) récupérer les Données client et les Résultats des services en une fonction export unique et sous un format lisible convenu au préalable d’entente entre les Parties, respectivement (ii) assurer la migration des Données client et des Résultats des services (si nécessaire) auprès du nouveau fournisseur à la requête du Client sans frais supplémentaire, et (iii) pleinement collaborer avec le nouveau fournisseur pour assurer la pleine et entière transition des Données clients et les Services d’ici la fin de la Période de transition au plus tard, ce de manière à assurer une continuité des affaires.
19 SURVEILLANCE ET DROITS D'AUDIT
19.1 En général
19.1.1 Sur requête, le fournisseur met à disposition du client toute information qui serait nécessaire pour établir le respect du présent contrat. A la demande du client, le fournisseur lui fait parvenir ces informations. Notamment, le fournisseur documente par écrit les mesures techniques et organisationnelles prises afin de garantir la protection des données et la sécurité de l’information telles qu’applicables selon la loi et le contrat.
19.2 Droit d'audit du Client
19.2.1 Le Fournisseur accorde au Client, de même qu’à toute personne autorisée par celui-ci, le droit de mener - s'il le souhaite mais au maximum deux fois par an - des audits raisonnables des Services d'application et de plate-forme (et des données et procédures associées) afin de vérifier le respect des lois applicables et de ses obligations contractuelles, notamment en ce qui a trait à la confidentialité et la sécurité des Données client dans le Portail web du Fournisseur, les Applications et les Systèmes et en ce qui a trait au respect des exigences énoncées à l'Annexe F. Avant d'entreprendre un tel audit, le Client tiendra compte des résultats des derniers audits indépendants. Un tel droit existera en particulier, sans limitation, en lien avec toutes les procédures et pratiques de sécurité. L’audit concernant les données personnelles au sens de l’Accord de délégation de traitement de données personnelles (ATDP
– Annexe E) est réservé.
19.3 Piratage contrôlé (ethical hacking)
19.3.1 Cet audit peut inclure, sous le contrôle du Client, pas plus d'une fois par an et moyennant l'accord écrit préalable du Fournisseur, le piratage contrôlé du Portail web du Fournisseur. La date de ce piratage contrôlé doit être communiquée par avance et suivre le protocole signé à cet effet par les Parties. Le Client doit également dévoiler le nom du tiers qualifié qui sera chargé d’exécuter ce piratage contrôlé. Les audits et le piratage se dérouleront sans entraîner une interruption importante, déraisonnable ou excessive des activités du Fournisseur ou des opérations du Portail web du Fournisseur.
19.4 Autorités de surveillance
19.4.1 Le Fournisseur comprend qu'en tant qu'entité publique, le Client est soumis au contrôle possible des autorités de surveillances que sont l’Autorité de protection des données et à l’information de l’État de Vaud (APDI), le Contrôle Cantonal des Finances (CCF) ainsi que la Cour des comptes (CC) (« Autorités »). Ces contrôles peuvent exiger que le Fournisseur soit audité pour s'assurer du respect par le Client de ses obligations. Dans l’hypothèse où une
Autorité déciderait de procéder à un tel audit, le Client communiquera au Fournisseur un avis écrit, identifiant le Contrat Spécifique et services y relatifs.
19.5 Modalités des audits
19.5.1 Le Fournisseur assure que ces droits d’audit peuvent valablement et intégralement être exercé envers toute Entité du Fournisseur ou sous-traitant. Le Client s’efforcera dans la mesure du possible de faire en sorte qu’un plan d'audit décrivant la portée, la durée et la date de début de l'audit soit proposé et adressé au préalable au Fournisseur. L’audit devra également être supervisé par le Fournisseur, sauf accord écrit contraire. Le client fera en sorte également, dans la mesure du possible, à ce que l'audit soit effectué pendant les heures de bureau normales et sans entraîner une interruption importante, déraisonnable ou excessive des activités du Fournisseur. A l'issue de l'audit, et sauf disposition légale l’interdisant, le Client remettra au Fournisseur une copie du rapport d'audit, qui devra être traitée comme une Information Confidentielle. Si une lacune est constatée dans le cadre d’un tel audit, le Fournisseur supportera seul l’entier des coûts subis par le Client au titre de cet audit. La Clause
19.6 est réservée.
19.6 Recours
19.6.1 Après un audit au sens de la présente Xxxxxx, le Client discutera des résultats avec le Fournisseur (sauf si une telle divulgation s’avérerait contraire aux intérêts du Client) et, si nécessaire, les Parties conviendront d'un plan (ainsi que d'un calendrier pour le mettre en œuvre) afin de résoudre tout problème identifié dans l'audit, ce aux frais du Fournisseur et sans préjudice des autres droits du Client. Si les Parties ne parviennent pas à s'entendre sur un plan de correction, chacune pourra transmettre l'affaire au Niveau Supérieur, conformément à la procédure d’escalade prévue à la Clause 23.
19.7 Peine conventionnelle
19.7.1 Dans l’hypothèse où les résultats de l’audit mené en application de la présente Xxxxxx révéleraient des manquements de la part du Fournisseur, le Fournisseur devra verser au Client une peine conventionnelle correspondant à dix pourcents (10%) du coût total par infraction, hors TVA, mais au moins à 3000 francs par cas. Le paiement de la peine conventionnelle ne libère pas le Fournisseur de ses obligations contractuelles. Demeure réservée l’action en dommages et intérêts sur lesquels la peine conventionnelle dûment reçue par le Client est imputable.
20 INCIDENT DE SECURITE
20.1 En général
20.1.1 Le fournisseur s’engage à notifier immédiatement le client, mais au plus tard dans un délai de 48 heures, aussitôt qu’il prend connaissance d’un incident en matière de sécurité susceptible d’avoir un impact sur les données traitées au travers des équipements TIC, que ces données
revêtent ou non un caractère personnel, sans frais supplémentaires pour le client et ce y compris lorsque le traitement a été confié (en tout ou partie) à un sous-traitant.
20.2 Lorsqu’un ATDP est en vigueur entre les parties et lorsque l’incident a trait à des données personnelles
20.2.1 Lorsque l’incident a trait à des données personnelles et qu’un Accord de traitement des données personnelles (ATDP – Annexe F) est conclu entre les parties, le processus d’annonce d’incident de sécurité décrit dans l’ATDP s’applique.
20.3 Lorsque l’incident a trait à des données ne revêtant pas un caractère personnel ou lorsque les parties n’ont pas signé d’ATDP
20.3.1 Lorsque l’incident a trait à des données qui ne revêtent pas un caractère personnel ou que les parties n’ont pas signé d’Accord de traitement des données personnelles (ATDP – Annexe F), le fournisseur s’engage à collaborer avec le client pour :
20.3.1.1 immédiatement mettre en œuvre une enquête raisonnable visant à effectuer une évaluation des risques ainsi qu’une analyse des causes profondes visant à identifier et comprendre les raisons et circonstances de la violation ainsi que de ses conséquences possibles ;
20.3.1.2 indiquer en particulier les attaques tentées ou fructueuses, ainsi que toute compromission technique réelle ou redoutée de systèmes, données ou informations, avec le cas échéant les dommages engendrés ;
20.3.1.3 prendre toutes les mesures nécessaires pour éviter, contenir et limiter l’impact de la violation de sécurité ;
20.3.1.4 aussitôt que possible, fournir au Client toutes les informations nécessaires pour lui permettre de respecter toutes ses propres obligations de notification et d’information en lien avec la violation de sécurité conformément à toutes les lois applicables – une telle information doit être donnée dans un rapport écrit adressé au Client et devrait, dans toute la mesure du possible, inclure les éléments d’information suivants : (i) la description de la violation, y compris (dans la mesure du possible) une référence explicite aux catégories et nombre de personnes affectées par la violation, de même que le nombre d’événements liés à cette violation ; (ii) le nom et les coordonnées de la personne auprès de laquelle des informations supplémentaires sur la violation peuvent être obtenues ; (iii) la description des conséquences possibles de la violation ; et (iv) la description des mesures prises ou à prendre pour remédier à la violation, qui seront documentées de la façon décrite ci-dessus ;
20.3.1.5 documenter dans le détail toutes les mesures prises ou à prendre pour remédier à la violation, ceci d’une façon respectant les exigences usuelles en matière d’admission des preuves ;
20.3.1.6 rassembler et conserver toutes les preuves concernant la découverte, la cause, la vulnérabilité, les mesures prises pour remédier à l’incident et l’impact d’une telle violation, ceci d’une façon respectant les exigences usuelles en matière d’admission des preuves et accorder au Client
un plein accès à l’ensemble des analyses, rapports d’enquête et autres constatations (documents, données, données du journal, objet, etc.) permettant d’analyser l’incident ;
20.3.1.7 si le Client décide d’ouvrir une enquête concernant la violation de sécurité (ou requiert qu’une telle enquête soit ouverte, ou est sujet à une enquête similaire, assister entièrement et coopérer à une telle enquête.
20.4 Assurances
20.4.1 Le fournisseur s’engage à conclure une assurance responsabilité civile couvrant les cyberattaques et adaptée aux risques de dommages ainsi qu’à prouver, au moment de la conclusion du contrat, qu’il possède une couverture d’assurance suffisante.
20.5 Peine conventionnelle
20.5.1 Tout incident en matière de sécurité sera présumé imputable au fournisseur, qui s’acquittera d’une peine conventionnelle, à moins qu’il ne démontre avoir fait preuve de la diligence exigible de sa part de manière documentée. En cas d’incident, le fournisseur devra verser au client une peine conventionnelle correspondant à dix pourcents (10%) du coût total par infraction, hors TVA, mais au moins à 3000 francs par cas. Le paiement de la peine conventionnelle ne libère pas le fournisseur de ses obligations contractuelles. Demeure réservée l’action en dommages et intérêts sur lesquels la peine conventionnelle dûment reçue par le client est imputable.
21 FORCE MAJEURE
21.1 Cas de Force Majeure
21.1.1 A supposer que l’une des Parties soit affectée par un cas de Force Majeure, leurs obligations seront suspendues et toutes deux seront excusées de leur absence d’exécution.
21.2 Procédure
21.2.1 Si l'une des Parties souhaite invoquer la présente Xxxxxx, elle doit immédiatement en informer l'autre Partie par écrit en fournissant des détails raisonnables du cas de Force Majeure, y compris sa durée et son impact probables. La Partie affectée déploiera tous les efforts raisonnables pour minimiser l'effet d'un cas de Force Majeure et continuer à remplir ses obligations, et en reprendre l'exécution totale dès que possible. Cette Partie devra, en outre, informer l'autre Partie de toute proposition, y compris de tout moyen alternatif raisonnable pour remplir les obligations affectées.
21.3 Conséquences
21.3.1 Si le Fournisseur se trouve dans l'incapacité de fournir les Services en raison d'un cas de Force Majeure, le Client ne sera plus tenu de payer les frais jusqu'à ce que le Fournisseur recommence à fournir l'intégralité des Services. Le cas échéant, le Client sera en droit d’obtenir soit un remboursement des montants payés pour la période affectée par le cas de Force Majeure, ou obtenir un crédit équivalant pour la prochaine période contractuelle.
21.3.2 Si un cas de Force Majeure empêche ou retarde de manière substantielle l'exécution des Services nécessaires à la réalisation de fonctions importantes du Client pendant plus de vingt- quatre (24) heures, le Client peut, à sa seule discrétion, obtenir les Services d'une source alternative. Si le Fournisseur se trouve dans l'incapacité d'exécuter les Services dans les cinq
(5) jours ouvrables, le Client peut, à sa seule discrétion, résilier immédiatement le présent accord sans responsabilité envers le fournisseur (et recevoir le remboursement des montants payés d'avance pour la période faisant suite à l’expiration du Contrat).
21.3.3 Les cas de Force Majeure ne dispenseront pas le Fournisseur de son obligation de tout mettre en œuvre pour exécuter le plan de reprise après catastrophe en faveur du Client, sauf dans la mesure où l'exécution de ce plan est elle-même empêchée par le cas de Force Majeure. Le Fournisseur ne sera pas en droit de prétendre que l'exécution de ses obligations est ou a été affectée par un cas de Force Majeure s'il n'a pas mis en œuvre toutes les mesures décrites
dans le plan de continuité des activités qui auraient pu empêcher ou minimiser le cas ou les circonstances qu'il déclare comme étant un cas de Force Majeure.
22 PROCÉDURES DE SAUVEGARDE ET PLAN DE REPRISE APRÈS CAS DE FORCE MAJEURE
22.1 Procédures de sauvegarde
22.1.1 Le Fournisseur veillera à ce que les Données du client soient sauvegardées et stockées dans un lieu (distant d’un minimum de 50km du lieu d’hébergement premier des Données client) et un format permettant leur récupération si nécessaire. Les sauvegardes sont exécutées comme détaillé dans l'Annexe X.
22.1.2 Le Fournisseur accepte la responsabilité de la restauration de toutes les Données client perdues. En cas d'erreurs de traitement des informations causées par le Fournisseur, le Client sera autorisé, sur demande raisonnable et sous réserve des procédures de sécurité raisonnables, à demander une restauration des Données client à partir des fichiers de sauvegarde les plus récents pendant les heures normales de bureau.
22.2 Reprise après un « cas de Force Majeure »
22.2.1 Dans le cas peu probable d’un évènement considéré comme un « cas de Force Majeure » au sens de la Clause 21 entraînant l'incapacité à exécuter les Services depuis son centre de données principal, le Fournisseur déploiera tous les efforts raisonnables pour restaurer les Services dans le centre de données secondaires en respectant le délai convenu avec le Client dans le plan de reprise, tel que défini en Xxxxxx F.
23 PROCÉDURE D’ESCALADE
23.1 Premier niveau
23.1.1 En cas de litige relatif à l’exécution du Contrat et d’un Contrat Spécifique en découlant, les Parties travailleront ensemble de bonne foi pour tenter en premier lieu de résoudre le problème à l'aide de leurs responsables de gestion de projets/services respectifs.
23.2 Niveau supérieur
23.2.1 Si le problème ne peut pas être résolu à ce niveau, il pourra être transmis à la Direction du Fournisseur et à la Direction du Client (« Niveau Supérieur »).
23.3 Tribunal
23.3.1 Si le Niveau Supérieur ne peut résoudre ce problème dans les dix (10) jours ouvrables à compter du moment où le litige a été porté à son attention, chaque Partie sera en droit de porter le litige devant le Tribunal compétent prévu à la Clause 26.3. Cette disposition (i) ne s'appliquera pas aux litiges impliquant le non-paiement des frais, la confidentialité ou la violation des Droits de propriété intellectuelle pour lesquels l'une des Parties principales/Parties (le cas échéant) sera libre d'utiliser d'autres recours disponibles, ou (ii) ne
portera pas atteinte au droit de toute Partie Principale/Partie de demander des mesures provisoires auprès de tout tribunal compétent pour préserver ses droits.
24 CONFORMITÉ RÉGLEMENTAIRE
24.1.1 Chaque Partie s’engage à respecter toutes les lois et réglementations qui lui sont applicables dans le cadre de l’exécution de ses obligations, notamment s’agissant du Fournisseur en ce qui a trait à la fourniture des Services.
24.1.2 Le Fournisseur est seul responsable d’obtenir et de maintenir à ses frais toutes les licences, approbations et autorisations susceptibles d’être requises par le droit applicable pour lui permettre de fournir les Services.
25 DISPOSITIONS GÉNÉRALES
25.1 Solidarité
25.1.1 Le Fournisseur convient que toute perte subie par le Client ensuite d’une violation du Contrat cadre ou d’un Contrat spécifique par le Fournisseur, permettra au Client d’exercer ses droits directement à l’encontre du Fournisseur en tant que partie principale, même si le Contrat Spécifique a été signé par une autre Entité du Fournisseur, hypothèse dans laquelle le Client sera en droit d’agir tant à l’égard du Fournisseur que de cette entité partie au Contrat Spécifique concerné.
25.2 Relations entre le Client et le Fournisseur
25.2.1 Rien dans le présent accord ne pourra être interprété comme créant un partenariat, une société simple, une joint-venture ou une relation employeur/employé entre les Parties. Aucune Partie n'a le pouvoir de représenter l’autre Partie ni de contracter quelque engagement que ce soit contraignant cette Partie.
25.3 Droits exclusifs
25.3.1 Rien dans le présent Contrat ne doit être interprété comme accordant au Fournisseur des droits exclusifs pour fournir des Services identiques ou substantiellement similaires aux Services souscrit par le Client. Le Client peut à tout moment, décider d’obtenir des services comparables auprès de tout tiers, sans encourir quelque responsabilité que ce soit à l’égard du Fournisseur
25.4 Cession
25.4.1 Le Fournisseur ne peut céder, partiellement ou totalement, les droits et obligations contenus dans le Contrat (même dans le cas d’une opération de fusion) que moyennant l’accord préalable et écrit du Client.
25.5 Divisibilité
25.5.1 Si certaines dispositions contractuelles du Contrat cadre ou d’un Contrat Spécifique sont caduques ou nulles, la disposition concernée doit être remplacée par une disposition convenue entre les parties dont le contenu est le plus proche possible de la disposition caduque ou nulle.
25.6 Publicité de la relation contractuelle
25.6.1 Le Fournisseur ne pourra pas faire état du fait qu’il a conclu le présent Contrat avec le Client ou du fait que le Client recourt à certains de ses Services d’application et/ou de plateforme auprès de ses autres clients potentiels, sauf à obtenir l’accord préalable et écrit du Client. Aucune communication ou publicité relative à la conclusion ou l’exécution du Contrat, en particulier à la presse, ne pourra intervenir sans l’accord écrit et préalable des parties.
25.7 Non-renonciation
25.7.1 Le fait qu’une Partie n’ait pas exigé le respect ou l’exécution d’une des dispositions des Contrats ne signifiera en aucun cas que cette partie ait renoncé au bénéfice de cette
disposition, ni n’affectera la validité en tout ou en partie de ces Contrats ou le droit des Parties de demander l’exécution de chacune de ses dispositions.
25.8 Modifications
25.8.1 Le présent Contrat ou Contrat Spécifique en découlant ne peut être modifié que par un avenant écrit signé par les Parties. Toute autre condition supplémentaire ou contradictoire, notamment des conditions générales ou d’achat du Fournisseur, ou toute référence à de tels documents dans un Contrat Spécifique ou tout autre document équivalent seront considérées comme sans pertinence et seront écartées.
25.9 Politique générale de sécurité des systèmes d’information (PGSSI)
25.9.1 Le fournisseur confirme avoir pris connaissance et accepté la directive de la DGNSI « Politique générale de sécurité des systèmes d’information (PGSSI) » préalablement communiquée.
25.10 Notification
25.10.1 Toutes les notifications relatives au présent Contrat devront être écrites et envoyées aux adresses suivantes :
Client : Direction générale du numérique et des systèmes d’information (DGNSI) – Avenue de Longemalle 1 – 1020 Renens
Fournisseur :
26 DROIT APPLICABLE ET TRIBUNAL COMPÉTENT
26.1 Droit applicable
26.1.1 Le Contrat cadre et les Contrats spécifiques en découlant sont soumis exclusivement au droit suisse et doivent être interprétés au regard du droit suisse, à l’exclusion de la loi fédérale sur le droit international privé (LDIP – RS 291) et de la Convention des Nations Unies sur les contrats de vente internationale de marchandises, conclue à Vienne le 11 avril 1980 (CVIM).
26.2 Règlement des litiges
26.2.1 En cas de litige relatif à l’exécution ou à l’interprétation du présent Contrat cadre ou des Contrats spécifiques et annexes en découlant, les parties s'engagent à résoudre les points litigieux de l’accomplissement du Contrat en toute bonne foi et d’un commun accord et à n’avoir recours à une voie judiciaire qu’en dernier recours.
26.3 Tribunal compétent
26.3.1 Tout litige découlant directement ou indirectement du Contrat cadre ou de tout Contrat spécifique en découlant sera soumis à la juridiction exclusive de la Cour civile du Tribunal cantonal du Canton de Vaud, à laquelle les Parties conviennent ici de se soumettre de manière irrévocable.
Le présent Contrat cadre est établi en deux exemplaires à Renens. Chaque Partie reçoit un original signé.
Pour le Fournisseur : Pour le Client / la DGNSI :
Xxxx, Xxxx Xxxx, Date
...…........................, le ............................ Xxxxxx, le .........................................
(signature et timbre fournisseur)
(signature et timbre client)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
(2è signature)
(2è signature)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
ANNEXE A - DEFINITIONS
Les termes définis au singulier incluent le pluriel et vice-versa.
« Appel d’offres » désigne une procédure qui permet au Client, sur la base d'un cahier des charges, de solliciter des offres de produits ou de services auprès de fournisseurs.
« Applications » : tous les modules, applications et logiciels utilisés pour exécuter/fournir les Services qui font partie du portail Web du Fournisseur y compris, mais de manière non limitative, les technologies
« back-end » de tout type, les moteurs logiciels et les outils de développement. Les applications comprendront toutes les améliorations, adaptations et modifications apportées via des mises à jour des Services. L'Annexe C (description des services) donne un aperçu quant aux spécifications des Services, y compris en ce qui a trait aux produits du Fournisseur, que ce dernier met à disposition de ses clients.
« Applications successives » : toute nouvelle Application, option et interface susceptible d’être développée et/ou acquise et commercialisée par quelque Entité du Fournisseur que ce soit durant la Durée de l’Accord, qui comporte des fonctionnalités équivalentes aux fonctionnalités de l’Application de base et qui peut être considérée comme un remplacement et/ou amélioration de ces fonctionnalités de base.
« Applications tierces » : tout logiciel ou autre produit, composant, élément ou service fourni ou concédé sous licence via un fournisseur tiers directement au Client et/ou via une Entité du Fournisseur en faveur du Client.
« ATDP » : Accord de traitement de données personnelles conclu entre les Parties Principales à l'Annexe E.
« Avenant » désigne un document qui matérialise les modifications intervenues dans un Contrat Spécifique, dûment signé par les Parties.
« Client » : la Direction générale du numérique et des systèmes d'information (DGNSI) contractant, pour l'Etat de Vaud, avec le Fournisseur.
« Code malveillant » : virus, vers, bombes, chevaux de Troie et autres codes, fichiers, scripts, agents ou programmes nuisibles ou malveillants.
« Contrat » ou « Contrat Cadre : renvoie au présent contrat-cadre de services cloud, y compris les annexes et tout autre document intégré par renvoi.
« Contrat Spécifique » : tout document de commande exécuté entre le Client et une Entité du Fournisseur, faisant partie intégrante du présent Contrat auquel il est soumis et dont un modèle figure en Xxxxxx X.
« Critères d'acceptation » : critères d'acceptation, le cas échéant, auxquels le Fournisseur doit répondre par rapport à des prestations dont il est redevable aux termes du Contrat Spécifique conformément à la Clause 12.
« Documentation » : documentation relative aux Services qui comprend, entre autres, des descriptions/spécifications fonctionnelles détaillées et des consignes d'utilisation.
« Données client » : toutes les données fournies par le Client, quels qu’en soient la forme ou le support, ou qui sont rendues accessibles par le Client de toute autre manière au Fournisseur dans le cadre de l’exécution du Contrat et Contrats spécifiques en découlant, en particulier lors de l’utilisation des Services d’application et de plate-forme. Ces données sont réputées inclure toutes les métadonnées client ainsi que, le cas échéant, les données personnelles et l'identité des Utilisateurs autorisés.
« Entité du Fournisseur » : désigne le Fournisseur et/ou société affiliée du Fournisseur ayant conclu un Contrat Spécifique avec le Client. Sera considérée comme une société affiliée du Fournisseur toute entité qui contrôle le Fournisseur, est contrôlée par lui ou exerce un contrôle commun avec le Fournisseur. Par contrôle, on entend toute entité qui possède par la détention d'actions, la possession de droits de vote et/ou en vertu de tout contrat ou autre, directement ou indirectement, le pouvoir de diriger ou de faire diriger la gestion et les décisions de l'autre entité. Ce pouvoir est considéré existant lorsque l'entité contrôlante exerce une propriété ou un contrôle direct ou indirect dans l'entité contrôlée égal ou supérieur à 50% des droits de vote.
« Force Majeure » désigne tout événement imprévisible, insurmontable ou impossible à contourner provenant d’une cause extérieure naturelle (terrorisme, guerre, insurrection, sabotage, feu, restrictions gouvernementales, épidémie, pandémie et mesures gouvernementales qui y sont liées, modifications législatives rendant impossible l’exécution des obligations par l’une ou l’autre des parties, interruption du réseau électrique qui ne pouvait pas être anticipée) et indépendante de la volonté des parties, ayant lieu sans faute de leur part et empêchant ou retardant l’exécution des Services d’application et/ou de plateforme convenus.
« Fournisseur » : entité qui signe le présent Contrat-cadre ainsi que, s’agissant d’un Contrat Spécifique, toute Entité du Fournisseur qui signe un tel Contrat spécifique avec le Client.
« Heures de bureau » : heures de bureau ordinaires pendant un Jour ouvrable, soit de 8h à 18h.
« Informations commerciales » signifient toute information relative aux affaires de chaque partie, incluant notamment (i) contacts d’affaires, (ii) plans d’affaires, méthodologies ou procédures, (iii) transactions, (iv) contrats, (v) finances, (vi) employés, produits et politique de prix, et (vii) affaires relatives au Client ou au Fournisseur.
« Informations confidentielles » signifient pour chaque partie (i) ses Informations Commerciales ; (ii) sa propriété intellectuelle ; (iii) ses secrets commerciaux, documents, données en original ou non, code source, logos, images, plans d’affaires, base de données et statistiques, logiciels, rapports, mémorandum, connaissance ou technologie, ainsi que, plus généralement (iv) toute information à laquelle la partie l’ayant reçu a eu accès ou dont elle a eu connaissance en cours de projet et dont toute partie placée en les mêmes circonstances aurait raisonnablement pensé qu’elle revêtait un caractère confidentiel. Ne revêt pas un tel caractère toute information dont la partie qui l’a reçue parvient à démontrer que (a) elle était connue par le public sans que cette connaissance ne soit le résultat d’une violation d’une obligation de non-divulgation par la partie récipiendaire, (b) elle a été développée de manière indépendante par la partie recevant l’information sans recours à l’information confidentielle, (c) elle a été acquise d’une tierce partie, laquelle, à la connaissance de la partie recevant l’information, n’était pas dans une obligation de non-divulgation de l’information avec la partie divulguant l’information.
« Intervenants » s’entend du personnel du Fournisseur et/ou des sous-traitants contractés par ce dernier avec l’accord préalable écrit du Client.
« Jour ouvrable » : tout jour ouvrable dans le Canton de Vaud (étant précisé que le samedi n’est pas considéré comme un jour ouvrable).
« Logiciel » : (i) logiciel du Fournisseur et/ou logiciel d'un tiers qui fait partie des applications développées par ou pour le compte du Fournisseur. Ce terme comprend tous les programmes, modules, options et interfaces requis pour fournir les Services, (ii) toutes les mises à jour des Services et (iii) toutes les copies des éléments précédents.
« Mise à jour des Services » : toute version révisée et corrigée et toute version perfectionnée, améliorée ou remplacée des Services et de la Documentation (y compris les correctifs, mises à jour adaptative et évolutive définies plus en détail dans l'Annexe D) mise à disposition dans le cadre des Services aux clients du Fournisseur sans coût supplémentaire. La Mise à jour des services comprend les Applications successives.
« Niveaux de service » : niveaux de performance convenus pour les Services tels que définis en Annexe D (SLA).
« Offre » désigne l’offre commerciale et technique formulée par le Fournisseur sur la base du cahier des charges établis par le Client.
« Partie(s) » : référence individuelle ou collective au Client et au Fournisseur ou à l'Entité du Fournisseur exécutant un Contrat Spécifique.
« Partie(s) principale(s) » : référence individuelle ou collective (le cas échéant) aux parties à ce contrat-cadre, soit le Client et le Fournisseur.
« Pertes » : dommages, responsabilité, demandes, poursuites, pertes, amendes, pénalités, dépenses ou frais de toute autre nature.
« Portail web du Fournisseur » : accès Web sécurisé et interfaces utilisateur mis à la disposition des Utilisateurs autorisés afin qu'ils puissent utiliser les Services conformément à leurs droits d'utilisation via une connexion Internet.
« Propriété Intellectuelle » signifie tous les éléments listés ci-après et détenus ou utilisés par chaque partie dans ses affaires à l’entrée en vigueur du contrat ou postérieurement : (i) brevets et inventions brevetables, (ii) idées, connaissances, découvertes, améliorations et modèles, (iii) marques, qu’elles aient été enregistrées ou non, (iv) processus, logiciels et bases de données (incluant le code source),
(v) secrets commerciaux, (vi) les droits d’auteur, (vii) droits sur les designs ainsi que les droits analogues (qu’ils soient enregistrés ou non), (viii) raisons sociales, (ix) noms de domaines et les sites web qui y sont rattachés, (x) tout droit similaire à un droit susmentionné qui pourrait apparaître (soit par l’adoption d’un nouveau droit par la législation soit par tout autre moyen).
« Résultats des Services » : tout produit (output) résultant de l'utilisation des Services d'application ou de plateforme, y compris, de manière non limitative, les spécifications, graphiques, programmes, données, rapports et autres matériaux écrits ou productions informatiques (sous leur forme définitive ou non, et sur tout support). Le terme « Résultats des Services » n'inclut pas les Applications ou la Documentation fournie au Client ou les travaux dérivés et les modifications qui y sont apportées.
« Services » : tout Service d'application, Service de plateforme, Service professionnel et toute forme de support que le Fournisseur fournit conformément aux conditions de ce Contrat et de tout Contrat Spécifique y relatif, comme décrit plus en détail dans la Clause 1.2.
« Services d'application » ou « SaaS » : ils consistent (i) à héberger les Applications et/ou les Applications tierces sur des systèmes qui fonctionnent dans un centre de données sécurisé, (ii) à créer et à héberger un portail Web (le « Portail Web du Fournisseur »), (iii) à permettre aux Utilisateurs autorisés d'accéder aux Applications/Applications tierces et de les utiliser via le Portail Web du Fournisseur et (iv) à fournir au Client une Documentation relative à l'utilisation des Services d'application sous forme de guide de l'utilisateur.
« Services de plateforme » : tout service d'infrastructure en ligne (IaaS) et/ou de plateforme (PaaS) fourni par le Fournisseur au Client conformément à un Contrat Spécifique.
« Services professionnels » : services professionnels fournis par le Fournisseur, y compris, de manière non limitative, les services de formation, de déploiement et/ou de mise en œuvre, conformément le cas échéant au CDC correspondant, tels que définis dans un Contrat Spécifique.
« SLA » : voir Niveaux de services.
« Sous-traitant » : Doit être compris comme sous-traitant au sens du présent Contrat toute personne morale ou physique, entité du fournisseur ou entité tierce qui apporte une contribution déterminante à l’exécution du contrat. Est réservée la notion de sous-traitance au sens du droit de la protection des données personnelles telle que prévue dans l’Accord de traitement de données personnelles (ATDP – Annexe F).
« Sous-traitant de deuxième niveau » et « sous-traitant de troisième niveau » : Xxxx être compris comme sous-traitant de deuxième niveau le sous-traitant du sous-traitants (sous sous-traitant). Doit être compris comme sous-traitant de troisième niveau le sous-traitant du sous sous-traitant (sous sous-sous- traitant). Est réservée la notion de sous-traitance au sens du droit de la protection des données personnelles telle que prévue dans l’Accord de traitement de données personnelles (ATDP – Annexe F).
« Spécification » : par rapport aux services concernés, (i) les spécifications fonctionnelles et/ou de performance correspondant aux Services d'application et/ou de plateforme détaillées dans la Documentation correspondante, et/ou (ii) toute spécification concernant des Services professionnels. Ces spécifications sont également susceptibles d’être définies en Annexe C.
« Systèmes » : (i) à l'égard du Fournisseur, l'équipement, les systèmes de communication et les composants ou éléments utilisés, fournis, exploités et/ou développés par ou pour le compte d'un sous- traitant ou du Fournisseur pour fournir les Services ; et (ii) à l'égard du Client, l'équipement, les systèmes de communication et les composants ou éléments utilisés, fournis, exploités et/ou développés par ou pour le compte du Client pour la réception des Services.
« Utilisateurs autorisés » : personnes autorisées par le Client à accéder aux Services d'application et à les utiliser. Sauf limitation expresse contenue dans un Contrat Spécifique, ils incluent, de manière non limitative, tous les employés et consultants du Client. Le Client accepte d’endosser la responsabilité des actes et/ou omissions de chacun de ses Utilisateurs autorisés en ce qui a trait à leur utilisation des Services.
ANNEXE B - CONTRAT SPECIFIQUE N° XXX
(PO n° 45xxxxxxxx) Numéro de commande
soumis au contrat-cadre Cloud N° XXX
entre
Etat de Vaud
représenté par
la Direction générale du numérique et des systèmes d’information (ci-après « DGNSI » ou « Client »)
et
< Nom complet du fournisseur>
< Adresse>
(ci-après « Fournisseur »)
Document | Version | Date | Etat | Auteur | Validé par | Visa |
1 DISPOSITIONS GENERALES
1.1.1 Le présent Contrat Spécifique a pour but de définir les conditions applicables aux Prestations suivantes : [brève définition des prestations/projets et leur objectif].
1.1.2 Les termes en Italique ont le sens qui leur est donné à l’Annexe A du Contrat Cadre signé entre les Parties.
1.1.3 Toute référence à d’autres conditions contractuelles, en particulier celles du Fournisseur, est exclue et ne sera pas considérée comme applicable.
1.1.4 Le présent Contrat Spécifique fait suite à un appel d’offres de la part du Client :
□ Oui– appel d’offres n° : [préciser]
□ Non
2 DATE EFFECTIVE ET DURÉE
2.1.1 Date effective du Contrat Spécifique : [ à préciser ]
2.1.2 Durée initiale :
3 SERVICES D’APPLICATION
3.1.1 Les Services souscrits sont les suivants :
SaaS | Paramètres d’utilisation | Nombre de licences | Prix par licence (HT et TTC) | Total (HT et TTC) |
4 SERVICES DE PLATE-FORME
4.1.1 Les Services souscrits sont les suivants :
PaaS | Paramètres d’utilisation | Nombre de licences | Prix par licence (HT et TTC) | Total (HT et TTC) |
5 SERVICES PROFESSIONNELS
5.1 Livrables
[Décrire et définir les produits livrables]
5.2 Calendrier
[Xxxxxxxx le calendrier et les étapes de la fourniture des services et des prestations, notamment par rapport aux différentes phases possibles d’un développement [milestones], éventuels délai d’acceptation, etc.].
5.3 Frais
Les services sont fournis sur les bases suivantes :
Date de livraison | Tarif horaire/journalier (hors TVA) | Tarif horaire/journalier (TVA incluse) | Recette d’acceptation | |
Livrable 1 | ||||
Livrable 2 |
Livrable 3 | ||||
Livrable 4 |
6 LOCALISATION
6.1.1 Le fournisseur exécutera en principe ses prestations de services à [définir l’endroit].
6.1.2 Les données seront hébergées à [définir l’endroit]. 6.1.3 …
7 MODALITÉS DE PAIEMENT
7.1.1 Le prix est indiqué hors et avec TVA.
7.1.2 Les factures sont payables à trente (30) jours dès réception de la facture correctement libellée, pour le montant non contesté.
7.1.3 Les factures sont à adresser exclusivement à l’adresse suivante : Direction générale du numérique et des systèmes d’information (DGNSI) – Avxxxx xx Xxxxxxxxxx 0 – 0000 Xenens ; et doivent obligatoirement mentionner le numéro de commande (PO 45xxxxxxxx).
8 DÉROGATIONS
8.1.1 Les Parties conviennent de déroger aux clauses suivantes du contrat cadre :
8.1.2 [clauses auxquelles il est dérogé ; indiquer en parallèle la nouvelle clause]
9 ANNEXES
9.1.1 Font partie intégrante du présent contrat spécifique les annexes suivantes :
9.1.2 Annexe 1 : description des services
9.1.3 Annexe 2 : accord sur les niveaux de services
9.1.4 Annexe 3 : Fiche technique de sécurité 9.1.5 Autres annexes selon besoins.
10 SIGNATURES
Le présent Contrat Spécifique est établi en deux exemplaires à Renens. Chaque partie reçoit un original signé.
Pour le Fournisseur : Pour le Client / la DGNSI :
Lieu, Date
...…........................, le ............................
Lieu, Date
Xxxxxx, le .........................................
(signature et timbre fournisseur)
(signature et timbre client)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
(2è signature)
(2è signature)
Nom, prénom, fonction
...…........................................................
Nom, prénom, fonction
Nom, Prénom, Directeur XXX
[
ANNEXE C - DESCRIPTION DES SERVICES
1 | DESCRIPTION DES SERVICES | ||
1.1 | Services d’application | ||
] | |||
1.2 | Services de plate-forme | ||
[ | ] | ||
1.3 | Services professionnels | ||
[ | ] |
ANNEXE D - ACCORD SUR LES NIVEAUX DE SERVICE (SLA)
1 REPRÉSENTANTS POUR LE SUPPORT
Les personnes ci-dessous ont validé les heures de service et les niveaux de support ci-dessous. Ils ont lu et sont pleinement conscients de ce niveau de service et de la présente annexe.
Représentant Client | |||
TITRE DU POSTE: | |||
NOM: | |||
SERVICE | |||
TÉLÉPHONE | MOBILE | ||
Représentant Fournisseur | |||
TITRE DU POSTE: | |||
NOM: | |||
SERVICE | |||
TÉLÉPHONE | MOBILE | ||
2 SOLUTIONS SUPPORTÉES
<Définir les solutions spécifiques si cet accord porte sur de multiples solutions>
3 HEURES DE DISPONIBILITÉ DES SERVICES
Les Services sont en principe disponibles 24h/24 et 7j/7, réserve étant faite des plages de maintenance.
4 SUIVI DE LA DISPONIBILITÉ ET DE LA PERFORMANCE
Le Fournisseur s'engage à mettre en œuvre une solution de surveillance pour assurer la disponibilité et la performance des Services. Cette surveillance doit inclure la surveillance du centre de calcul, des processus de bout en bout (End to End) et de la disponibilité des Services pour l'utilisateur final grâce à des scripts automatisés fonctionnant à un intervalle d'au moins <xx secondes / xx minutes>
5 INDICATEURS CLÉS DE PERFORMANCE
Le Fournisseur doit s'assurer que la performance est surveillée et que les indicateurs suivants peuvent en permanence être mis à la disposition du Client s’il le demande. Ils devront être fournis au minimum sur une base mensuelle:
1. Niveau de disponibilité des Services
2. Temps de réponse moyen (voir la section 15)
3. Nombre moyen de transactions pris en charge
4. Délais de réponse des pages Web
5. Le temps moyen de réponse des requêtes
<Les performances doivent être précisées pour chaque contrat en fonction des besoins Business. En général, cela comprend un tableau supplémentaire d'indicateurs de mesure des performances>
6 HORAIRES DE SUPPORT
EUR/CET | |
COUVERTURE HORAIRE TOTALE | <à compléter> |
7 LANGUES DE SUPPORT ET DE COMMUNICATION
Tous les échanges oraux entre l’équipe de support et le Client, respectivement les communications écrites, y compris mais non limitées aux documents, e-mail et les tickets doivent être en français.
8 CONTACTS POUR LE SUPPORT
<Email à compléter>
9 MATRICE DE PRIORITÉ
Le mode de demande d'assistance technique standard du Fournisseur est le courriel, complété d’un appel téléphonique au moment opportun. Chaque dossier de support/ticket sera priorisé selon la matrice de priorité ci-dessous. Un identifiant unique de dossier/ticket sera communiqué au Client.
Matrice de Priorité | IMPACT | ||||
Sites / Domaines d'activité multiples | Site / entité Business unique | Utilisateurs multiples | Utilisateur unique | ||
URGENCE | Je ne peux pas travailler | P1 | P2 | P3 | P3 |
Je ne peux pas faire des tâches critiques de mon travail | P2 | P3 | P4 | P4 | |
Je suis capable de travailler mais cela deviendra critique dans les 24h | P3 | P3 | P4 | P4 | |
Je travaille avec des inconvénients et des perturbations mineures | P3 | P4 | P5 | P5 | |
Je peux travailler, je ne rencontre aucun problème | P4 | P5 | P5 | P5 |
10 HORLOGE DES INCIDENTS
La résolution des incidents commence à partir du moment où
• L'incident est soulevé par l'une des Parties, ou
• L'une des Parties fait face à un incident dans son périmètre et l’enregistre, ou
• Les outils de surveillance détectent un incident
11 OBJECTIF DE TEMPS DE RÉPONSE, MISE À JOUR ET DE RÉSOLUTION DES INCIDENTS
Les objectifs standards de temps de résolution par le Fournisseur sont les suivants:
Priorité | Description | TEMPS DE REPONSE (maximum ) | Temps de résolution | Intervalle entre 2 mises à jour du dossier | Pénalités 5% du coût annuel (par priorité) | Clause de résiliation |
1 | CRITIQUE: L'incident arrête la majorité des activités. Le problème se produit dans un environnement de production. | 10min | 4h | 20min (initial) Toutes les heures par la suite, ou selon accord mutuel | Moins de 100% des dossiers du mois à la cible | Moins de 75% des dossiers du mois à la cible |
Travaillé 24x7 | ||||||
2 | URGENT: L'incident arrête une large part du Business ou un incident majeur impacte la majorité des Business. Incident travaillé 24x7 | 10min | 8 heures | 30min (initial) Toutes les heures par la suite ou selon accord mutuel | Moins de 90% des dossiers du mois à la cible | Moins de 50% des dossiers du mois à la cible. |
3 | HAUT: Un ou plusieurs utilisateurs ne peuvent dérouler un processus Business clé, ou une | 2h (Heures de bureau) | 1 jour (Jour ouvrable) | 4 heures (initial) Par la suite, selon accord | Moins de 80% des dossiers du | Moins de 20% des dossiers du |
grande partie de l'entreprise fait face à des difficultés mineures. | mois à la cible | mois à la cible. | ||||
Travaillé pendant les heures normales de bureau | ||||||
4 | MOYEN: Un ou plusieurs utilisateurs souffrent d'un problème majeur, ou une grande partie de l'entreprise rencontre des difficultés mineures. | 4 heures (Heures de bureau) | 2 jours (jours ouvrables) | 10hr (initial) Par la suite, selon accord | Moins de 80% des dossiers du mois à la cible | Moins de 10% des dossiers du mois à la cible. |
Travaillé pendant les heures normales de bureau | ||||||
5 | STANDARD: Un ou plusieurs utilisateurs font face à une difficulté mineure. Travaillé pendant les heures normales de bureau | 4 heures (Heures de bureau) | 5 jours (jours ouvrables) | 1 jour Par la suite, selon accord | Moins de 80% des dossiers du mois à la cible | Moins de 5% des dossiers du mois à la cible. |
RM | DEMANDE DE SERVICE : Gestion de demandes de service faites par des collaborateurs du Client désignés | 4 heures (heures de bureau) | 5 jours (jours ouvrables) | 1 jour Par la suite, selon accord | Moins de 80% des dossiers du mois à la cible | Moins de 5% des dossiers du mois à la cible. |
12 GESTION DES ESCALADES
Niveaux de la hiérarchie destinataires des escalades si besoin. Niveau d’escalade :
1. Superviseur Support technique / Détails de contact 2. Responsable IT / Détails de contact
3. Directeur technique / Détails de contact
13 RÉPONDANT FOURNISSEUR
CONTACT PRINCIPAL POUR LE SUPPORT | ||
TITRE: | NOM | |
SERVICE | PRENOM | |
TÉLÉPHONE | MOBILE | |
Contact supplémentaire | ||
TITRE: | NOM | |
SERVICE | PRENOM | |
TÉLÉPHONE | MOBILE | |
14 ACTIVITÉS DE GESTION DE PROBLÈMES
Le Fournisseur peut demander au Client de réaliser des activités d’investigations d'incidents (dictées par le Fournisseur) lorsque le Fournisseur ne peut réaliser de telles activités par lui-même. Ces activités d’investigation de problème peuvent être d’activation de traces réseau, la capture des messages d'erreur, et la collecte d'informations de configuration. Il peut être également demandé au Client d'effectuer des activités de résolution de problèmes, y compris la modification des configurations des Services.
15 DISPONIBILITÉ DES SERVICES
Si le Fournisseur n’arrive pas à atteindre la disponibilité garantie au cours d’un mois, le fournisseur créditera le compte du client selon le calendrier (s) ci-dessous:
Pourcentage de disponibilité de la solution | Pénalité | Clause de résiliation |
Moins de 99,9% | 10 % de la redevance mensuelle | 5 mois consécutifs ou 8 fois en un an |
Moins de 99% | 20% de la redevance mensuelle | 4 mois consécutifs ou 7 fois en un an |
Moins de 95% | 30% de a redevance mensuelle | 3 mois consécutifs ou 6 fois dans l'année |
* La disponibilité du système est calculée selon la formule suivante: U% = (SD) / S x 100 Où, dans un mois calendaire:
S = Heures de service (24X7)
D = temps d'arrêt du système (d'interruption) Heures (y compris toute période d'entretien prévue); et U% = Disponibilité du système
Le montant du crédit ne doit pas dépasser 30% de ces frais dus au fournisseur.
16 LES TEMPS D’INDISPONIBILITÉ DU SYSTÈME (OUTAGE)
Toute période au cours de laquelle:
1. La non-disponibilité du Service n'est pas attribuable à une défaillance de l'Internet, et
2. Le Service n'a pas été désactivé volontairement en réponse à un incident de sécurité, et
3. Le Service n'a pas été affecté par les activités d'analyse de la vulnérabilité demandées par le Client.
4. Le Service n'a pas été affecté par un cas de Force Majeure.
17 LATENCE
Le Fournisseur doit:
1. Maintenir l'infrastructure nécessaire pour veiller à ce que l'augmentation du nombre total d'utilisateurs actifs ne provoque pas de latence ou n’augmente pas les temps de réponse.
2. Maintenir ou engager les moyens d’accélération / de résolution des performances réseau / solution pour s'assurer qu'il n'y aura pas de temps de latence ou de problèmes de temps de réponse pour cause de situation géographique.
3. Faire des efforts commercialement raisonnables pour maintenir et / ou améliorer les temps de réponse moyens de transaction sur la durée de souscription des Services.
18 TEMPS DE RÉPONSE MOYEN
Le Fournisseur garantit que les Services délivrés assureront un temps de réponse moyen de ≤ 1 seconde. Le temps de réponse moyen sera mesuré au niveau des serveurs du Fournisseur par des instruments intégrés dans les Services et sera calculé par mois, comme il suit:
PagesParJour * MoyenneTempsPageParJour / MoyenneTempsPageParJour ≤ 1 seconde
Où:
1. PagesParJour désigne le nombre total de pages délivrées par les Services en une seule journée;
2. MoyenneTempsPageParJour signifie le temps de réponse moyen par page, calculé sur l’ensemble des pages délivrées par les Services en une seule journée.
3. Elevé - augmentation de 200% du temps de réponse, soit 4 secondes
Pour une latence élevée, un dossier P1 peut être émis. Une telle latence est assimilée à une indisponibilité du Service (Outage)
4. Moyen - augmentation de 100% des temps de réponse (double) Pour une latence moyenne, un dossier P2 peut être émis
5. Faible - augmentation de 50% des temps de réponse Pour une latence faible, un P3 peut être émis
Temps de réponse moyen mensuel | Pénalité | Clause de résiliation |
Plus de 1 seconde | 5% de la redevance mensuelle | 10 semaines consécutives où l'objectif n'est pas atteint |
Plus de 2 secondes | 10 % de la redevance mensuelle | 8 semaines consécutives où l'objectif n'est pas atteint |
Plus de 3 secondes | 15% de la redevance mensuelle | 5 semaines consécutives où l'objectif n'est pas atteint |
19 ACTIVITÉS DE MAINTENANCE
Les plages de maintenance programmées sont définies selon la matrice ci-dessous. Le Fournisseur fournira, en Décembre de l'année suivante, un calendrier sur 12 (douze) mois des principales opérations de maintenance prévues, qui devront être au maximum au nombre de trois par an, et qui devront être approuvées par le Client ; autant que faire se peut, ces plages de maintenance auront lieu en dehors des Jours ouvrables et Heures de bureau. Les plages de maintenance programmées ne sont pas considérées comme des indisponibilités des Services.
<Ajouter le calendrier de maintenance agréé ou un lien vers le document de référence>
20 PROCÉDURE DE MAINTENANCE NON PLANIFIÉE
Le Fournisseur doit donner au moins une semaine de préavis pour tout autre arrêt des Services non planifié; à condition, toutefois, que le fournisseur ait fait tous les efforts pour planifier tous les temps d'arrêt en dehors des Jours ouvrables et des Heures de bureau. En aucun cas, que ce soit pour une version majeure de services ou autres, le temps d'arrêt ne pourra dépasser 6 heures par mois.
21 PROCÉDURE DE MISE À JOUR (MISE EN PRODUCTION)
Sauf dans des circonstances exceptionnelles (par exemple, dans une intervention d'urgence face à une menace de sécurité), les mises à jour du Fournisseur auront seulement lieu pendant les périodes de maintenance programmées.
22 GESTION DES VERSIONS
22.1 Le cycle des versions
Le Fournisseur s'engage à fournir au client au moins une (1) version majeure (upgrade) par an, et un maximum de trois (3) versions mineures (update) par an.
22.2 Feuille de route
Le Fournisseur doit fournir au Client, sur une base annuelle, une feuille de route donnant au Client une vue de haut niveau des améliorations et des nouvelles fonctionnalités. Le Fournisseur doit également fournir au Client, tant que les Services sont délivrés :
a) Une vue plus précise sur le mois à venir, y compris : des améliorations et des nouvelles fonctionnalités, avec un impact possible sur la configuration du Client.
b) Un calendrier incluant tous les modules de mise à niveau (le cas échéant) autant que possible sur la base des feuilles de route de chaque produit / module.
c) Un processus de test clair pour chaque version majeure, y compris les périodes de test.
d) Tous les documents relatifs aux nouvelles versions afin que le Client puisse les stocker dans son référentiel, dans le but de les rendre disponibles pour les utilisateurs clés et les responsables.
23 SAUVEGARDE ET DE REPRISE APRÈS SINISTRE
23.1 Sauvegarde
Toutes les données sont à la fois sauvegardées quotidiennement et stockées hors site dans le cadre du service d'hébergement géré par le Fournisseur. Les données sont également en permanence en miroir sur le site distant de reprise après sinistre. Des tests de restauration sont effectués régulièrement tous les <définir la fréquence et la période>
23.2 Récupération après sinistre
Le Fournisseur fournira les détails de sa procédure de récupération après sinistre (DRP) et les dossiers de dernières et prochaines dates de basculement prévues. Le processus de
transition et de récupération doit viser à ne pas prendre plus de 3 heures et les données sur les deux systèmes ne devront pas être désynchronisées plus de 2 heures.
23.3 Point de restauration dans le temps
A tout moment, le Fournisseur assure que la perte de données n’excédera pas x
<secondes/minutes/heures/jours>
24 NIVEAUX DE DOTATION POUR LES RESSOURCES CLÉS
Lorsque le Service constitue un service essentiel pour le Client, l'équipe de support en charge du Client doit être maintenue en place durant au minimum de 12 mois, réserve étant faite de l’hypothèse où un membre de l’équipe support quitte le Fournisseur, ce dans le but de fournir un niveau de service constant et une continuité de service au Client.
25 PÉNALITÉS
Les pénalités ne sont pas cumulatives. Lorsque la disponibilité est en jeu, la disponibilité est prioritaire sur le temps de réponse. Les pénalités sont payables le mois suivant la revue mensuelle/périodique du service :
• Pour le support : se référer au § 15
• Pour la disponibilité : se référer au § 14
• Pour les temps de réponse : se référer au § 18
26 RÉSILIATION
• Pour le support : se référer au § 11
• Pour la disponibilité : se référer au § 15
• Pour les temps de réponse : se référer au § 18
27 GOUVERNANCE DES REVUES DE SERVICE PÉRIODIQUE AVEC LE FOURNISSEUR Chaque <mois/trimestre> le Fournisseur et le Client examineront la qualité des Services du Fournisseur. Le Fournisseur générera les rapports requis permettant d’évaluer et valider le respect des Niveaux de service définis dans la présente annexe.
Trimestriellement, le Client fournira en tant que de besoin les prévisions de croissance d’activité pour les 12 mois à suivre, à la fois organique et liées à des projets, afin que le Fournisseur planifie des augmentations de capacité.
28 GESTION DES LICENCES
Le Fournisseur veillera à ce que les licences requises pour la fourniture du Service soient gérées dans le cadre du support.
ANNEXE E - ACCORD DE TRAITEMENT DE DONNEES PERSONNELLES (ATDP)
Cette annexe fait l’objet d’un document séparé.
ANNEXE F - FICHE TECHNIQUE DE SÉCURITÉ
1 INTRODUCTION
Avant de traiter des Données Clients et/ou données personnelles (“Données”) couvertes par le Contrat (et conformément à n'importe quel Contrat Spécifique en découlant), le Fournisseur, ses Entités et sous- traitants impliqués dans l’exécution des Services doivent mettre en place et maintenir pendant la durée du Contrat les mesures techniques et organisationnelles définies ci-dessous de façon à ce que la confidentialité, l’intégrité et la disponibilité des Données soit en tout temps assurée, et les protéger contre toute destruction accidentelle ou illicite, tout dommage, perte accidentelle, altération, divulgation ou accès non autorisé à ces Données.
Les mesures techniques et organisationnelles sont sujettes aux progrès et développements techniques. Xxxxxxx, le Fournisseur, ses Entités et ses sous-traitants sont autorisés à mettre en place des mesures alternatives adéquates, à la condition, cependant, que le niveau de sécurité ne soit à aucun moment réduit et que le Client en soit préalablement informé par écrit.
Des modifications significatives apportées aux mesures techniques et organisationnelles définies ci- dessous doivent être documentées et signalées au Client avant leur mise en place pour approbation préalable. Sur demande du Client, le Fournisseur, ses Entités et ses sous-traitants fourniront toutes les informations complémentaires considérées comme pertinentes par le Client.
2 LE QUESTIONNAIRE CLOUD SECURITY ALLIANCE (CSA)
En complément des obligations définies ci-dessous dans cet Accord, le Fournisseur confirme et garantit que lui et n’importe laquelle de ses Entités et/ou de ses Sous-traitants satisfont aux exigences de sécurité décrites dans le questionnaire d’évaluation CAIQ-Lite de la Cloud Security Alliance (CSA), disponible à l’adresse xxxxx://xxxxxxxxxxxxxxxxxxxxx.xxx/xxxx/xxxx-xxxx. Le Fournisseur doit fournir au Client ledit questionnaire dûment complété et remédier sans coût additionnel aux éventuelles lacunes constatées. La mise en place de corrections représentant un coût substantiel sera discutée de bonne foi entre les Parties.
3 CERTIFICATION
Le Fournisseur garantit que lui et ses Entités et/ou ses sous-traitants engagés dans le traitement des Données sont certifiés ou audités ISO 27001:2013, ISO 27701 et qu’ils resteront conformes à ces standards pendant toute la durée du Contrat. Le Fournisseur fournira au Client des copies des certificats ou des rapports d’audit y relatifs avant tout traitement de Données relatifs à ce Contrat et/ou Contrat Spécifique.
Le Fournisseur, ses Entités et sous-traitants doivent faire réaliser, chaque année et à leurs frais, par un tiers indépendant, des tests de pénétration sur les infrastructures exposées aux risques externes suivant des méthodologies usuelles dans l’industrie (p.ex. OWASP et OSSTMM) et doivent fournir au Client les résultats de ces tests dans les trente (30) jours à compter de leur réception. Le Fournisseur, ses Entités et sous-traitants devront entreprendre sans délai et à leurs frais les corrections nécessaires pour tout manquement constaté.
4 CONTRÔLES DE SÉCURITÉ
Les Services et leurs infrastructures doivent inclure différents contrôles de sécurité configurables qui permettent au Client de personnaliser la sécurité des Données traitées en relation avec la solution qu’ils utilisent. Ces contrôles incluent :
• Un identifiant unique (User IDs) pour s’assurer que les activités puissent être attribuées individuellement.
• Des contrôles pour supprimer les accès après plusieurs tentatives de connexion infructueuses.
• La possibilité de spécifier un temps pour le verrouillage.
• Des contrôles sur le nombre de tentatives de login avant le verrouillage d’un utilisateur.
• Des contrôles pour forcer le changement du mot de passe initial à la première utilisation.
• Des contrôles pour obliger à changer les mots de passe individuels régulièrement.
• Des contrôles pour clore une session utilisateur après une période d’inactivité.
• Des contrôles sur l’historique des mots de passe pour éviter leur réutilisation.
• Des contrôles de longueur de mot de passe.
• Des contrôles de complexité de mot de passe (contenant lettres et chiffres).
• Des questions de vérification avant réattribution d’un mot de passe.
• La possibilité d’accepter des logins aux Services uniquement pour certaines adresses IP.
• La possibilité de restreindre l’accès aux Services durant certaines périodes.
• La possibilité de déléguer l’authentification des utilisateurs via SAML.
5 PROCÉDURES DE SÉCURITÉ, POLITIQUES ET CONNEXION
Les Services (et si besoin leurs infrastructures) doivent fonctionner selon les procédures suivantes pour améliorer la sécurité :
• Les mots de passe utilisateur sont stockés en utilisant l’algorithme SHA-256 et ne sont jamais transmis sans avoir été préalablement cryptés.
• Les enregistrements des entrées des utilisateurs seront maintenus, avec les dates, heures, durée, User ID, URL exécutée ou ID utilisée par une entité, type d’opération réalisée (vue, édition, etc..) et l’adresse IP source. A noter que l’adresse IP source peut ne pas être disponible si une translation de type NAT (Network Address Translation) ou PAT (Port Address Translation) est utilisée par le Client ou ses Fournisseurs d’Accès Internet.
• S’il y a une suspicion d’accès inappropriés, le Fournisseur doit pouvoir fournir la liste des enregistrements pour aider à l’analyse.
• Les logs de connexions doivent être conservés pour une durée minimum de 90 jours.
• Les logs de connexions doivent être conservés dans une zone sécurisée pour empêcher les falsifications.
• Les mots de passe ne sont en aucun cas enregistrés.
• Certaines modifications administratives des Services (telles que des changements de mots de passe, l’addition de champs spécifiques) sont suivies dans un « log d’audit » et sont disponibles en visualisation par les administrateurs de système du Client. Le Client peut charger et stocker ces données localement.
• Le personnel du Fournisseur ne mettra pas de mot de passe défini pour un utilisateur. Les mots de passe sont remis à une valeur aléatoire (qui doit être changée à la première utilisation) et envoyés automatiquement via le courrier électronique à l'utilisateur qui en fait la demande.
• Les Données seront cryptées en mouvement de bout en bout et au repos, y compris en ce qui a trait à la sauvegarde de données.
6 DÉTECTION/PRÉVENTION DES INTRUSIONS
Le Fournisseur ou un tiers autorisé contrôlera les Services et l’infrastructure pour empêcher toute intrusion non autorisée en utilisant des outils de détection d’intrusion des réseaux.
7 AUTHENTIFICATION DES UTILISATEURS
L'accès aux Services exige la combinaison d’une ID d’utilisateur valable et d’un mot de passe, qui est crypté via SSL pour la transmission. Après une authentification réussie, une ID de session aléatoire est générée et stockée dans le navigateur de l'utilisateur pour conserver et tracer l'état de session.
8 JOURNAUX DE SÉCURITÉ
Le Fournisseur s’assurera que tous les systèmes, y compris les pare-feux, les routeurs, les commutateurs de réseau et les systèmes d'exploitation, enregistrent des informations dans leurs journaux de système respectifs ou dans un serveur syslog centralisé (pour des systèmes de réseau) afin de pouvoir réaliser les audits de sécurité.
9 GESTION DES INCIDENTS
Le Fournisseur a mis en place des politiques de gestion d'incident de sécurité et des procédures, y compris des procédures d'escalade d'incident de sécurité détaillées. Le Fournisseur notifiera le Client dans les plus brefs délais lorsqu’il découvre une réelle ou possible divulgation non autorisée de Données.
10 SÉCURITÉ PHYSIQUE
Les centres de données de production (data centers) du Fournisseur ont un système de contrôle d’accès, qui permet uniquement au personnel autorisé d'avoir accès aux zones sécurisées. Les installations (i) sont conçues pour résister aux intempéries et à d'autres conditions naturelles raisonnablement prévisibles, (ii) sont sécurisées par des gardes 24/7, (iii) recourent à des contrôles d'accès biométrique et/ou par escorte physique et (iv) sont aussi secourues par des générateurs sur le site en cas de panne d'électricité.
11 FIABILITÉ ET SAUVEGARDE
Tous les composants de réseau, des accélérateurs SSL, des répartiteurs de charge, des serveurs Web et des serveurs d'application sont configurés dans une configuration redondante. Toutes les Données sont stockées sur un serveur de base de données principal qui est en cluster avec un serveur de base de données de secours pour la redondance. Toutes les Données sont stockées sur des disques professionnels (pour les hébergeurs) en RAID et des chemins de données multiples. Toutes les Données, jusqu'à la dernière transaction traitée, sont automatiquement et régulièrement sauvegardées cryptées. Toutes les bandes de secours sont vérifiées (intégrité) et stockées dans une installation en dehors du site dans un endroit sécurisé, ignifugé.
12 REPRISE D’ACTIVITÉ APRÈS CATASTROPHE (DISASTER RECOVERY)
Le Fournisseur dispose d’une installation éloignée géographiquement de son centre de données principal, équipée du matériel nécessaire, de logiciel et de la connectivité Internet, au cas où les installations de production du Fournisseur au centre de données principal devaient être rendues indisponibles. Le Fournisseur a un Plan de Reprise d’activité (DRP) en place et le teste au moins une fois par an. Le Fournisseur discutera des résultats de ces tests avec le Client sur demande.
Les Plans de Reprise d’activité (DRP) du Fournisseur doivent avoir les objectifs de rétablissement cibles suivants : (i) restauration des Services affectés dans les 12 heures suivant la déclaration d’une catastrophe par le Fournisseur; et (ii) perte de Données maximale de 4 heures; excluant cependant une catastrophe ou des catastrophes multiples affectant les 2 centres de données simultanément et excluant les environnements de développement et de test, tels que les bacs à sable (sandbox).
13 CODE MALVEILLANT
Les Services n’introduiront aucun Code malveillant dans les Systèmes du Client ; les Services doivent réaliser des analyses (scan) pour détecter tout Code malveillant qui pourrait être inclus dans des pièces jointes ou d'autres Données téléchargées au travers des Services.
14 CRYPTAGE DES DONNÉES (DATA ENCRYPTION)
Le Fournisseur utilise des produits de chiffrage reconnus pour protéger les Données du Client et les communications lors des transmissions entre le réseau du Client et les Services, qui incluent au minimum la certification VeriSign SSL de 256 bit et au minimum des clés publiques RSA 2048-bit.
15 GESTION DES VULNÉRABILITÉS
Le Fournisseur doit avoir mis en place un programme complet de gestion des vulnérabilités pour l'identification régulière (au moins une fois par mois), la catégorisation et la correction opportune des vulnérabilités techniques et de processus au niveau de l'infrastructure et des applications du ou des systèmes fournis. Les correctifs logiciels pour corriger les vulnérabilités doivent être installés et activés dans les délais suivants :
Niveau de vulnérabilité | Délai |
Critique | 7 Jours ouvrables |
Elevé | 30 Jours ouvrables |
Moyen | 90 Jours ouvrables |
ANNEXE G - ACCORD DE CONFIDENTIALITE
Cette annexe fait l’objet d’un document séparé.