CONTRAT
CONTRAT
de conformité aux exigences de sécurité pour l’accès réciproque au Réseau interne de SFR et de XXXX pour les échanges de Flux FTTH en mode M2M
Entre
SOCIETE FRANCAISE DU RADIOTELEPHONE
Société anonyme au capital de 3.423.265.598,40 euros, immatriculée au registre du Commerce et des Sociétés de Paris sous le numéro 343 059 564, dont le siège social est sis au 1 Square Xxxx Xxxxxx – 00000 Xxxxx,
ci-après dénommée « SFR»
Représentée aux fins des présentes par, dûment habilité à cet effet par Monsieur Xxxx XXXXXXX sis 00 xxx Xxxx-Xxxxxxxx Xxxxxx
XX 00000 - 00000 Xx-Xxxxxx-Xxxxx-Xxxxx Xxxxx
d'une part,
et
………………………………………………………..…
ci-après dénommé « XXXX » ou « l’Opérateur », ou « l’Opérateur Commercial »,
d'autre part,
ci-après collectivement dénommées « les Parties » ou « les Opérateurs » ou individuellement « Partie », Il est convenu ce qui suit :
Contrat de conformité aux exigences de sécurité M2M
Version février 2016
IL EST PREALABLEMENT EXPOSE QUE :
XXXX a signé une (ou des) convention(s) pour l’accès aux lignes FTTH déployées par SFR, agissant en tant qu’Opérateur d’Immeuble, en Zone Très Dense et/ou en dehors des Zones Très Denses, (ci-après dénommées
« Conventions Cadre » ou individuellement la « Convention Cadre ») ayant pour objet de définir le cadre des relations contractuelles entre les Parties.
Pour les besoins de l’exécution de chaque Convention Cadre passée avec XXXX en qualité d’Opérateur Commercial, SFR autorise cet opérateur (ci-après dénommé l’Opérateur) à accéder à distance au réseau informatique de SFR pour l’échange automatisé des Flux FTTH.
Réciproquement, dans le cadre de l’exécution de cette Convention Cadre passée avec SFR, l’Opérateur autorise SFR à accéder à distance à son réseau informatique pour l’échange automatisé des Flux FTTH.
Les stipulations du présent Contrat et de ses annexes complètent celles de la Convention Cadre précitée et déjà signées par les Parties. Elles constituent ainsi des conditions particulières négociées entre elles pour l’échange sécurisé et automatisé des Flux FTTH entre les Parties, lors de la réalisation des Prestations dues au titre de ladite Convention. En cas de contradiction, les documents contractuels sont par ordre de priorité croissante :
o La Convention Cadre et annexes relatives aux protocoles d’échange d’informations
o Le présent Contrat et ses annexes.
A ce titre, chacune des Parties s’engage à respecter les conditions décrites ci-dessous relatives à l’accès à distance au Réseau de l’autre Partie.
article 1 - objet
Le présent Contrat (ci-après désigné « Contrat ») a pour objet de définir les conditions et modalités selon lesquelles les parties s’engagent réciproquement à respecter les exigences de sécurité définies au Contrat, et ce exclusivement pour les besoins de l’automatisation des émissions et réceptions de flux FTTH, c’est-à-dire au travers d’un mode de communication de machine à machine, également appelé « M2M ».
article 2 - définitions
« Convention cadre » désigne un contrat d’accès aux lignes FttH déployées par l’une des Parties en tant qu’Opérateur d’Immeuble, et signée par l’autre Partie en tant qu’Opérateur Commercial.
« Prestation » désigne l’ensemble des services fournis par l’Opérateur d’Immeuble à l’autre Partie, impliquant des échanges de Flux FTTH automatisés en mode M2M avec l’Opérateur Commercial.
« Réseau » désigne le réseau informatique interne de chacune des Parties et les infrastructures d'accès à ce réseau permettant les échanges entre les Ressources de l’Opérateur et les Ressources de SFR.
« Point d’Accès » désigne les interfaces réseau mises en place par chaque partie. Le Point d’Accès est composé d’équipements permettant les échanges de type FTP entre les deux Parties.
« Intervenant(s)» désigne l’ensemble des personnes dûment autorisées, disposant d’un accès au Réseau de chacune des Parties au titre de l’exécution des Prestations.
« Ressources » désigne l’ensemble des réseaux informatiques, matériels, logiciels, services, données appartenant et administrés par l’une ou l’autre des Parties, et utilisés dans le cadre de la fourniture des informations échangées.
« Flux FTTH » : désignent les informations échangées entre les Parties lors de la fourniture des Prestations. Ces flux sont décrits à l’annexe « Flux d’échange SI » du contrat d’accès aux lignes FTTH de SFR.
« Opérateur d’Immeuble (ou OI) » : désigne l’opérateur qui installe et/ou exploite un câblage FTTH permettant d’offrir aux occupants de l’immeuble FTTH un raccordement à très haut débit en fibre optique.
« Opérateur Commercial (ou OC) » : désigne l’opérateur qui commercialise des services de communication électronique à très haut débit en fibre optique dans un immeuble FTTH de l’Opérateur d’Immeuble
article 3 - durée
Le présent Contrat est conclu à compter de la date signature par la dernière des deux parties et jusqu’au terme de la dernière Convention Cadre en vigueur entre les Parties.
article 4 - contrôle d’accès
Les Opérateurs s'engagent respectivement à :
réserver l'usage du Point d’Accès aux besoins stricts des Prestations ;
s’assurer que seuls les Intervenants et les Ressources autorisées communiquent avec les Ressources de l’autre Partie ;
mettre en œuvre les moyens techniques et organisationnels permettant d’établir la relation entre une connexion ou action sur les Ressources et l’Intervenant autorisé.
Pour les identifiants fournis par SFR permettant aux Intervenants d’’accéder à ses Ressources, l’Opérateur Commercial s'engage à:
communiquer la liste des Intervenants dûment autorisés par l’OC, sur l’annexe 2 du présent Contrat, ainsi que tout ajout ou modification de cette liste, par notification écrite avec renvoi de l’annexe 2 modifiée ;
ne pas diffuser les identifiants et mots de passe permettant l’accès aux Ressources de l’autre Partie à un tiers autres que les Intervenants autorisés ;
mettre en œuvre les moyens techniques et organisationnels permettant d’établir la relation entre l’identifiant fourni et l’Intervenant.
article 5 - gestion de l’exploitation des Ressources
Chacune des parties s’engage à :
appliquer les mises à jour de sécurité de manière réactive sur ses Ressources afin de maintenir leur niveau de sécurité, et notamment à mettre en œuvre une solution opérationnelle d’anti-virus sur ses Ressources ;
mettre en œuvre des mécanismes de verrouillage de session sur ses Ressources après une durée courte d’inactivité afin de protéger l’accès à ses Ressources
mettre en œuvre une politique de gestion des mots de passe d’accès à ses Ressources. Cette politique doit intégrer le renouvellement régulier des mots de passe et l’utilisation de mots de passe avec un niveau de protection élevé ;
en cas de transfert de données, mettre en œuvre tous les moyens nécessaires afin d’assurer la non- infection de ces données par un code malveillant ;
à restituer les matériels propriétés de l’autre Partie qui auraient été mis à disposition, à restituer ou détruire les informations propriétés de l’autre Partie lorsque les Parties ne se fourniront plus de services au titre des Conventions Cadre précédemment citées et que l’accès au Réseau ne sera plus nécessaire, ou en cas de résiliation du présent contrat.
Chaque partie utilisera uniquement les Ressources de l’autre Partie nécessaires à la réalisation de ses propres Prestations ou de celles de l’autre Partie.
article 6 - gestion des incidents de sécurité
Les parties s'engagent à désigner à l’annexe 1 des présentes le point de contact sécurité qui sera alerté en cas d’incident de sécurité et s’informeront par écrit de tout changement le concernant.
Les parties s'engagent à s’informer réciproquement via les points de contact sécurité déterminés préalablement par les Parties en cas de détection d'une malveillance, d’une vulnérabilité, ou d'un incident de sécurité pouvant avoir un impact sur les Ressources de l’autre Partie
En cas d’incident grave lié à l’accès de d’une Partie au Réseau de l’autre Partie (par exemple une crise virale ou une intrusion) pouvant nuire à la sécurité des Ressources, l’Opérateur d’Immeuble concerné pourra suspendre sans préavis l’accès de l’OC à son Réseau pour une durée nécessaire à la résolution complète de l’incident.
article 7 - droit d’audit et de journalisation
Chacun des deux Opérateurs, se réserve le droit de:
journaliser les accès à ses Ressources ;
placer sur l’infrastructure d’accès des équipements de supervision de sécurité ;
contrôler l’identité des Intervenants y compris le cas échéant des sous-traitants de l’autre Partie, sur la base des informations fournies par celle-ci
En outre, chaque partie pourra effectuer des audits des Ressources de l’autre Partie afin de vérifier la conformité aux engagements énoncés aux présentes.
Chaque Partie communiquera une liste d’auditeurs référencés choisis. Lors d’un audit, l’autre Partie choisira un auditeur parmi cette liste.
Chaque Partie s'engage à fournir par écrit à l’autre Partie ou au tiers chargé de l’audit :
- sa politique de lutte contre les codes malveillants (notamment le nom des produits antivirus utilisés sur les stations de travail et les serveurs, politique de mise à jour des signatures et des moteurs antivirus, politique d'applications des mises à jour de sécurité sur les stations de travail et serveurs) ;
- un schéma de ses réseaux et de ses équipements qui sont connectés au Réseau de l’autre Partie ;
- toute autre information nécessaire à l’audit (élément de politique, journaux de connexion…).
En cas de non-conformité détectée par l’audit, la Partie en défaut s’engage à fournir, dans un délai de vingt (20) jours à compter de la notification par l’autre partie par courrier recommandé AR, un plan de remise en conformité. Ce plan décrira les mesures et leurs délais de mise en œuvre. Ces délais devront être raisonnables. Après approbation du plan de remise en conformité par l’autre Partie, la Partie en défaut s’engage à appliquer ce plan tel que décrit. A défaut, l’autre Partie pourra suspendre sans préavis l’usage au point d’accès à son réseau et pourra résilier le Contrat dans les conditions de l’article « résiliation du Contrat » du présent Contrat.
article 8 - sous-traitance
Chacune des parties s’engage à mettre à jour la liste des Intervenants autorisés, notamment en tant que salariés d’un sous-traitant, à l’annexe 2 du présent Contrat et à notifier à l’autre Partie, préalablement et par écrit, toute modification de cette liste.
Chacune des parties s’engage réciproquement à s’assurer du respect de l’ensemble des obligations par ses Intervenants, y compris ses sous-traitants notamment le respect les règles de confidentialité décrites à l’article
« confidentialité » du présent Contrat et de l’intégrité des informations communiquées tant dans le cadre de leurs missions que dans le cadre de l’exécution des Prestations de l’autre Partie.
article 9- modalités d’évolution du contrat
Toute modification du Contrat doit faire l’objet de la signature par les deux Parties d’un avenant.
Les Parties conviennent qu’ en cas d’intégration d’un nouveau type de flux défini en annexe « Flux d’échanges » de la Convention(s) Cadre SFR postérieurement à la signature du présent Contrat, ce nouveau flux sera intégré au présent Contrat dans le mode de gestion automatisé sans que la conclusion d’un avenant entre les Parties ne soit nécessaire.
Par exception la mise à jour des annexes 1 et 2 pourra être faite unilatéralement, sans préjudice des noms, coordonnées ou informations mentionnées par l’autre Partie.
article 10 - manquement
En cas de manquement grave à une des obligations mentionnées au présent Contrat, l’Opérateur d’Immeuble pourra suspendre l’usage du Point d’Accès à son Réseau.
Le non-respect aux obligations mentionnées dans le présent document pourra faire l’objet de poursuites sur le fondement des articles 323-1 et suivants du code pénal et pourra entraîner la résiliation du Contrat conformément à l’article « résiliation du Contrat» du Contrat.
article 11 – résiliation du Contrat
11.1 résiliation pour convenance
L’une ou l’autre des Parties peut résilier à tout moment le présent Contrat par lettre recommandée avec avis de réception moyennant le respect d’un préavis de trois mois.
11.2 résiliation pour non-respect des obligations contractuelles
En cas de non-respect par l’une des Parties de l’une de ses obligations, le Contrat sera résilié de plein droit huit jours après mise en demeure, par lettre recommandée avec avis de réception, demeurée infructueuse, et ce sans préjudice de tous dommages intérêts auxquels la Partie lésée pourrait prétendre.
article 12 – confidentialité
Les Parties s’engagent à considérer comme confidentiels, le Contrat, son contenu ainsi que tous les documents, informations et données (y compris les données relatives aux clients finals), quel qu’en soit le support, qu’elles s’échangent à l’occasion de l’exécution du Contrat (ci-après dénommés « Données Confidentielles »).
Au titre du présent article, le terme « Partie émettrice » signifie la Partie qui communique des Données Confidentielles et le terme « Partie réceptrice » signifie la Partie qui reçoit les Données Confidentielles communiquées par la Partie émettrice.
Les Parties s’engagent pendant la durée du Contrat et les cinq (5) années qui suivront la cessation des prestations, objet du Contrat, à ce que toutes les Données Confidentielles :
- soient protégées et gardées strictement confidentielles et soient traitées avec le même degré de précaution et de protection que les Parties accordent à leurs propres informations confidentielles et,
- ne soient pas utilisées à d’autres fins que l’exécution par chacune des Parties de ses obligations au titre du Contrat et,
- ne soient divulguées aux membres du personnel de la Partie réceptrice ou aux représentants dûment habilités relevant d’autres services, filiales ou partenaires que si elles sont nécessaires à la stricte exécution du Contrat et ne soient utilisées par ces derniers que dans le but défini par les présentes et dans des conditions de confidentialité équivalentes dans le principe à celles applicables entre les Parties au titre des présentes. Chacune des Parties se porte fort du respect de ces conditions auprès des membres de son personnel et des tiers précités.
Par dérogation, lorsqu’aucune obligation de confidentialité n’a été violée, les obligations de confidentialité, édictées au présent article, ne s’appliquent pas aux Données Confidentielles :
- dont la communication a été autorisée préalablement et par écrit par la Partie émettrice ou,
- dont il est démontré, par une preuve écrite, qu’au moment de leur communication à la Partie réceptrice, elles appartenaient déjà au domaine public ou,
- dont il est démontré, par une preuve écrite, qu’au moment de leur communication à la Partie réceptrice, elles étaient préalablement connues de cette dernière ou,
- qui concernent des projets mis au point par chaque Partie indépendamment de l’exécution du Contrat, à la condition qu'un tel développement indépendant puisse être établi d'une façon adéquate par des preuves écrites antérieures à la révélation des Données Confidentielles par la Partie réceptrice ou,
- qui ont été révélées à la Partie réceptrice par des tiers de bonne foi, non tenus par une obligation de confidentialité ou,
- que l’une des Parties doit produire nécessairement pour faire valoir ses droits ou prétentions dans le cadre d’une action contentieuse relative à la formation, l'interprétation ou l'exécution du Contrat.
La Partie réceptrice s’engage à restituer à la Partie émettrice, sur demande expresse et écrite de cette dernière, au terme du Contrat, l’ensemble des supports restituables des Données Confidentielles et à défaut, de fournir à la Partie émettrice une attestation de leur destruction.
article 13 – protection des données
13.1 droit d’accès aux fichiers informatisés
Chaque Partie fait son affaire du respect de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Les informations que seraient amenées à se transmettre les Parties concernant des clients finals et conservées dans les fichiers de l’une ou l’autre des Parties pour l’exécution du Contrat ne sont transmises qu’aux personnes physiques ou morales habilitées à les connaître dans le cadre de la stricte exécution des Prestations ainsi que des déclarations faites auprès de la CNIL par les Parties.
13.2 données fournies par les services d’information en ligne
Conformément aux dispositions de la loi n°98-536 du 1er juillet 1998 concernant la protection juridique des bases de données, chaque Partie Opérateur d’Immeuble est producteur et propriétaire de tout ou partie des bases de données qui composent le ou les serveurs délivrant des services d’information en ligne.
En conséquence de ce qui précède, chaque Partie, en tant qu’Opérateur Commercial, s’interdit toute extraction ou réutilisation intégrale ou partielle de données, au sens de l’article L342-1 du code de la propriété intellectuelle, délivrées par un service d’information en ligne auquel il peut avoir accès dans le cadre du Contrat, sans le consentement préalable et écrit de l’Opérateur d’Immeuble
article 14 – intégralité
Les dispositions du Contrat expriment l'intégralité de l'accord conclu entre les Parties et fixent les droits et obligations de chacune d'elles au titre du Contrat. Ces dispositions annulent tous les autres engagements verbaux ou écrits antérieurs portant sur le même objet.
article 15 – autonomie et divisibilité des clauses contractuelles
Si une disposition non substantielle du Contrat est déclarée ou devient illégale, nulle ou non avenue à quelque titre que ce soit, cette disposition sera considérée comme détachable du reste du Contrat et n’affectera pas les autres dispositions dudit Contrat qui garderont leur plein effet.
article 16 – non renonciation
La renonciation par l'une ou l'autre des Parties à se prévaloir de tout droit qui lui est conféré au titre du Contrat ne vaut pas renonciation à se prévaloir dudit droit pour l'avenir.
article 17 – droit applicable
Le Contrat est soumis à la loi française.
article 18 - attribution de juridiction
En cas de litige et après l’échec d’une tentative de recherche d’une solution amiable, compétence expresse et exclusive est attribuée au tribunal de commerce de Paris, nonobstant pluralité de défendeurs ou appel en garantie, même pour les procédures d’urgence ou les procédures conservatoires, en référé ou par requête.
Etabli en deux originaux, dont un est remis à chaque Partie. Fait à …………., le …………….
Pour SFR Pour XXXX
Xxxx XXXXXXX ………………….
Annexe 1- Contacts sécurité
Rubrique 1 : Contact sécurité | xxxxx | |||
Nom : | ……………………… | |||
Fonction : | ||||
Adresse : | ………………………………. | |||
Code postal : | ….. | Localité : | …… | |
Téléphone : | …………….. | Portable : | ||
E-mail : | …………….. |
Rubrique 2 : Contact sécurité SFR | |||
Nom : | ……………….. | ||
Fonction : | |||
Adresse : | …………………. | ||
Code postal : | …………….. | Localité : | ………. |
Téléphone : | ………………… | Portable : | |
E-mail : | ………………………. |
Annexe 2 – Liste des Intervenants autorisés
Liste des intervenants SFR autorisés :
Nom/Prénom Personne | Adresse* | Localité et Code Postal* | Téléphone * | E-mail* | salarié SFR ou salarié sous- traitant* |
(*) les champs mentionnés avec une * sont à compléter exclusivement pour les personnes physiques
Liste des Intervenants xxxx autorisés :
Nom/Prénom Personne | Adresse* | Localité et Code Postal* | Téléphone * | E-mail* | salarié de XXXX ou salarié sous- traitant* |
(*) les champs mentionnés avec une * sont à compléter exclusivement pour les personnes physiques