Conditions générales de vente NumSpot

NumSpot, société par actions simplifiée, au capital de 50 000 000 €, dont le siège social est situé 000 Xxxxxxxxx Xxxxxxx xx Xxxxxx XX 00000 00000 XXXXX LA DEFENSE, immatriculée au Registre du Commerce et des sociétés de Nanterre sous le n° 948 608 948, est une entreprise qui propose et commercialise une offre de cloud souverain et de confiance avec l’ambition de devenir un leader du cloud de confiance en France et en Europe sur les marchés publics, marchés de la santé, auprès d’acteurs privés ayant des besoins en matière de gestion de données sensibles ainsi qu’auprès des éditeurs de PaaS/SaaS qui visent ces marchés.

Le Client qui souhaite disposer de la fourniture des Services proposés par NumSpot reconnaît en conséquence accepter sans limitation ni réserve les présentes Conditions Générales et les éventuelles Conditions Particulières ou Spécifiques dont les Parties ont pu convenir qui constituent l'engagement des Parties, lesquelles déclarent que les négociations ayant conduit au présent engagement ont été menées sans aucune restriction ni limitation, ni sous l’empire d’une quelconque contrainte économique d’une Partie sur l’autre, de telle sorte que les présentes constituent un contrat de gré à gré au sens de l’article 1110 du Code civil. Elles déclarent notamment que chacune a eu le temps de consulter ses conseils et concernant le Client de poser à NumSpot les questions qui lui paraissaient déterminantes de son consentement, d’en analyser les réponses et d’apprécier par lui-même la portée de ses engagements.

Il est ici rappelé que le Client n’étant jamais engagé à consommer des Services de NumSpot, il peut à tout moment cesser d’utiliser ces services s’il estime que les conditions de performance, de prix ou qualité des Services sont inférieures à ses attentes.

Par ailleurs, si le Client n’accepte pas des modifications apportées par NumSpot à ses Conditions Générales ou des évolutions des Services, il pourra notifier à NumSpot son intention de cesser d’utiliser les Services et ainsi mettre en œuvre la procédure de réversibilité prévue à l’article 7 « Réversibilité ». Concernant les Services prépayés comme les Réserves d’Instances, le Client, s’il entend résilier ces Services, bénéficiera, seulement dans le cas de non-acceptation de nouvelles Conditions Générales, d’un remboursement au prorata de l’utilisation effective selon les modalités prévues à l'article 6 « Suspension, cessation d’utilisation et résiliation des Services ».

Le Client déclare également expressément qu’il dispose de toutes les compétences techniques, ou qu’il est assisté d’un professionnel de l’informatique, pour mettre en œuvre et exploiter les Services fournis par NumSpot et s’assurer pendant toute la durée de leur relation contractuelle que les Services et leurs Spécifications resteront, même en cas d’évolution de ces Services, en adéquation avec ses besoins et objectifs, en particulier en termes de sécurité.

Le Client déclare enfin avoir une parfaite connaissance des lois, règlements, et prescriptions, applicables à son activité tant dans son pays d’établissement que dans les pays dans lesquels il exerce son activité. Il s’engage irrévocablement à s’y conformer, y compris à leurs évolutions futures, et, le cas échéant, à s’assurer du respect de ces obligations par tous ses contractants, ayants droit ou ayants cause. En particulier, il lui appartient de procéder aux démarches, déclarations, demandes d’autorisation prévues par les lois et règlements en vigueur qui lui sont applicables.

ARTICLE 1. Définitions

Pour l’interprétation des présentes, les termes et expressions ci-dessous devront être interprétés par rapport à leurs définitions, lesquelles ont valeur contractuelle, lorsque lesdits termes commencent par une majuscule ; elles sont complétées par les définitions du glossaire technique présent dans la Documentation Publique de NumSpot.

Catalogue des Services (ou Catalogue) : catalogue décrivant les Services de NumSpot et leurs Spécifications, et en particulier celles des différentes Ressources que NumSpot peut mettre à la disposition du Client. Le Catalogue en vigueur est celui figurant sur le site xxxxxxxxx.xxxxxxx.xxx. Le retrait par NumSpot d’un Service de son Catalogue se fait conformément à la “Politique de fin de vie des Produits” présente dans la Documentation Publique sauf, le cas échéant, si les Conditions Particulières ou les Conditions Spécifiques applicables dérogent à la “Politique de fin de vie des Produits”.

Client : toute entité bénéficiant des Services de NumSpot en vertu des présentes Conditions Générales.

Commande : toute demande d’achat de Service émise par le Client et acceptée par NumSpot. Elle prend généralement la forme d’un bon de commande qui précise la nature des Services commandés et constitue les Conditions Particulières complétant les présentes Conditions Générales.

Compte Technique (ou Compte) : le compte sur lequel seront imputées les Ressources consommées par le Client et qui servira à l’établissement des factures de NumSpot. Un Client, s’il en a le besoin, peut demander à NumSpot de lui ouvrir plusieurs Comptes Techniques. Si les Ressources consommées par le Client sont réparties sur plusieurs Régions, un Compte Technique par Région devra être ouvert.

Conditions Générales de Vente (ou Conditions Générales) : Le présent document y compris son préambule, ses définitions, ses annexes et tous les documents qu’il incorpore par référence.

Conditions Particulières : document contractuel, pouvant compléter les Conditions Générales avec lesquelles elles constituent un tout indissociable formant l'engagement des Parties.

Conditions Spécifiques : document contractuel relatif spécifiquement à un Service bénéficiant d’une qualification ou d’une certification notamment, Hébergement de Données de Santé (HDS) et SecNumCloud (SNC).

Date de Résiliation Effective : date à compter de laquelle les présentes Conditions Générales cessent de produire effet entre NumSpot et le Client.

Données Client (ou Données) : toutes les données, personnelles ou non, quelle que soit leur nature, les logiciels étant aussi des Données au sens de la présente définition, que le Client stocke, traite ou exécute grâce aux Ressources NumSpot.

Infrastructure NumSpot (Infrastructure as a Service ou IaaS NumSpot) : désigne tous les équipements et logiciels (TINA en particulier) opérés par NumSpot et nécessaires à la fourniture des Services.

On Demand (ou OD) : désigne les Ressources fournies par NumSpot dès lors que le Client (i) ne paie que les Ressources qu’il consomme, (ii) n’est soumis à aucun abonnement ni engagement de durée ni de consommation minimum, et (iii) peut donc cesser d’utiliser les Ressources à sa convenance et sans indemnités, en particulier si elles ne conviennent plus à ses besoins. NumSpot ne peut pas garantir à tout moment la disponibilité des Ressources On Demand.

Prestation de Récupération des Données : Prestation de services payante dont l’objet est de récupérer les Données du Client et de les lui transmettre en cas d'impossibilité pour le Client d’accéder à ses Données, notamment dans le cas où NumSpot aurait suspendu les Services conformément à l’article 6 « Suspension, cessation d’utilisation et résiliation des Services » des présentes.

Réserve d’Instance (ou RI) : désigne des Ressources commandées pour une durée déterminée.

Ressources (ou Machines Virtuelles) : désigne toutes les ressources cloud, telles que Machines Virtuelles (VM), service de stockage objet, etc. que NumSpot met à la disposition du Client. Elles peuvent être “On Demand” ou à durée déterminée. Cette mise à disposition est l’un des Services de NumSpot. Ces Ressources sont décrites dans le Catalogue des Services.

Service(s) : désigne l’ensemble des services de NumSpot dans le cadre des Conditions Générales, à savoir la mise à disposition de Ressources Cloud (On Demand et à durée déterminée) à l'exception des Services Professionnels.

Service Level Agreement (ou SLA ou Qualité de Service) : engagements de qualité de service de NumSpot dans le cadre des Services, tels que définis en annexe 3.

Services Professionnels : toute prestation de services fournie par NumSpot sur commande particulière du Client.

Ces prestations font l’objet de contrats particuliers.

Spécifications : caractéristiques des différents Services, tels que définis au Catalogue des Services, le cas échéant complété de la Documentation Publique et de la Matrice des responsabilités.

ARTICLE 2. Application des présentes Conditions Générales

Les présentes Conditions Générales, éventuellement complétées par les Conditions Particulières ou Spécifiques ont pour objet de définir les responsabilités et rôles respectifs de NumSpot et du Client dans le cadre de la fourniture de Services par NumSpot au Client, ainsi que les modalités de facturation de ceux-ci. Comme rappelé en préambule, les présentes Conditions Générales s'appliquent à toute consommation de Services NumSpot. Le Client déclare donc les accepter sans réserve.

Les présentes Conditions Générales conclues s’appliquent pour toute la durée d'utilisation par le Client des

Services.

Il est précisé que les consommateurs ne sont pas éligibles à ces Services.

Les présentes Conditions Générales ne concernent que les Services émanant de la société NumSpot.

1. Référentiels applicables

Les services proposés par NumSpot reposent sur un partenaire certifié dans le cadre de la norme ISO 27001, SecNumCloud et HDS. Ces activités sont auditées à intervalles réguliers afin de garantir leur conformité avec les exigences des normes de sécurité et de qualité en vigueur chez NumSpot ; par ailleurs, NumSpot obtient et maintient un engagement contractuel de la part de son partenaire de maintenir pendant la durée du contrat le niveau de certification conforme à l’état de l’art et conforme aux certifications susvisées.

NumSpot dispose de plusieurs certifications ou qualifications dont la liste à jour est détaillée sur son site internet xxxxxxxxxxx.xxxxxxx.xxx .

NumSpot dispose d’un système de management de la sécurité de l’information conforme aux exigences de la norme ISO 27001 concernant les services d'hébergement d'infrastructure incluant l'hébergement de données de santé (HDS) et l'hébergement de son service qualifié SecNumCloud (SNC).

NumSpot respecte le code de conduite CISPE (Cloud Infrastructure Service Providers Europe) pour la protection des données personnelles.

NumSpot est certifié TISAX (Trusted Information Security Assessment Exchange) afin de garantir la sécurité des données du secteur automobile.

Ces activités sont auditées à intervalles réguliers afin de garantir la conformité des pratiques aux exigences de sécurité et de qualité en vigueur.

NumSpot a également adhéré au code de conduite SWIPO (Switching Cloud Providers and Porting Data) sur la portabilité des données.

2. Hiérarchie contractuelle

L’acceptation des présentes conditions implique irrévocablement pour le Client :

- la renonciation à l’application de ses propres conditions générales d’achat,

- la renonciation à l’effet de tous les pourparlers, publicités, mails, offres, propositions, etc. ayant le même objet que le présent accord.

En tout état de cause, les présentes conditions éventuellement associées à des Conditions Particulières ou Spécifiques et complétées des documents listés ci-après constituent l’intégralité de l'engagement des Parties.

Quelle que soit la hiérarchie contractuelle particulière convenue par les Parties, les présentes Conditions

Générales constituent la référence unique d’interprétation au sens de l’article 1189 du Code civil.

L'engagement des Parties est constitué des documents suivants classés par ordre hiérarchique décroissant :

1. les éventuelles Conditions Spécifiques convenues entre les Parties,

2. les éventuelles Conditions Particulières convenues entre les Parties,

3. les présentes Conditions Générales, en ce compris leurs annexes : Annexe 1. Les modalités financières et de paiement,

Annexe 2. Les conditions liées aux données personnelles / Data Processing Agreement, Annexe 3. Les engagements de Qualité de Services / Services Level Agreement (SLA), Annexe 4. Le mandat de prélèvement SEPA.

Les documents ci-dessous, incorporés par référence, ont le même rang hiérarchique que le document dans lequel ils sont référencés :

- la matrice des responsabilités , ci-après la “Matrice des responsabilités”, (xxxx://xxxxxxx.xxxxxxx.xxx),

- le Catalogue des Services (xxxx://xxxxxxxxx.xxxxxxx.xxx),

- les tarifs publics des Services (xxxx://xxxxxx.xxxxxxx.xxx) définis comme les “Tarifs Publics”,

- la documentation publique associée aux Services (xxxx://xxxx.xxxxxxx.xxx ), définie comme la “Documentation Publique” et notamment la politique de fin de vie des produits (xxxx://xxx.xxxxxxx.xxx )

ARTICLE 3. Évolutiondes Conditions Générales, des Tarifs Publicset desoffres

Afin d’améliorer la qualité de ses Services, NumSpot fera régulièrement évoluer les présentes Conditions Générales ainsi que les offres du Catalogue de Services et les Tarifs Publics.

1. Évolutions des Conditions Générales

En cas d’évolution des Conditions Générales le Client reste toujours libre de les refuser. En ce cas il devra cesser d’utiliser les Services NumSpot avant l’entrée en vigueur des nouvelles Conditions Générales. S’il entend bénéficier des dispositions prévues à l’article 6 « Suspension, cessation d’utilisation et résiliation des Services » il devra notifier formellement à NumSpot son intention de résilier avant l’entrée en vigueur des nouvelles Conditions Générales.

Toute utilisation des Services postérieurement à l’entrée en vigueur des nouvelles Conditions Générales vaut

acceptation sans réserve de celles-ci.

Les nouvelles versions des Conditions Générales seront portées à la connaissance du Client par tout moyen que NumSpot jugera utile et pertinent notamment par leur publication sur le site Internet de NumSpot et sur l’interface de gestion des Comptes Techniques.

Les nouvelles versions devront être publiées au moins quinze (15) jours avant leur entrée en vigueur.

NumSpot ne verse aucune indemnité au Client suite à la modification de ses conditions contractuelles (Conditions Générales, offres et Tarifs Publics), la possibilité pour elle de les modifier à sa guise étant la contrepartie de la liberté du Client de mettre fin à sa convenance et sans indemnité aux Services.

2. Évolution des Conditions Spécifiques

Les Conditions Spécifiques inhérentes aux référentiels applicables à NumSpot sont susceptibles d’évoluer en fonction d’évolution des référentiels ou des périmètres y afférant, en conséquence NumSpot aura l’obligation de les faire évoluer.

3. Évolution des Services, offres et Tarifs Publics

Les Services sont susceptibles, dans un souci d'amélioration continue, d’évoluer dans leurs performances, leurs Spécifications ou leurs prix. Ces évolutions étant contingentes à la nature même des prestations de Cloud Computing, le Client déclare les accepter sans restriction ni réserve de même que les modifications des offres du Catalogue de Services et des Tarifs Publics.

NumSpot pourra également à tout moment décider de cesser la commercialisation d’un Service conformément à

la politique de fin de vie décrite dans sa Documentation Publique.

Concernant les Services commandés et payés par le Client (y compris les Réserves d’Instances), NumSpot pourra à sa seule discrétion (i) procéder à la résiliation sans frais ni indemnité et au remboursement prorata temporis des Services en cours ou (ii), remplacer le Service par un Service au moins équivalent en termes de performances pour la durée restant à courir.

ARTICLE 4. Souscription des Services

1. Commande initiale

Le Client peut commander des Services en contactant le service commercial NumSpot à l’adresse xxx

Après acceptation de la Commande par NumSpot, le Client pourra se voir ouvrir un Compte Technique par NumSpot.

Le Client définit lors de l’ouverture de son Compte Technique :

● L’email associé au Compte Technique ;

● La Région dans laquelle le Compte Technique doit être créé ;

● Les données d’identification (dénomination, numéro de TVA intracommunautaire ou équivalent dans le

pays du Client, adresse, numéro de téléphone, etc.).

Les informations mentionnées ci-dessus seront traitées par NumSpot dans le but de lui fournir le Service. Le Client doit également fournir ses informations de facturation ainsi que ses informations bancaires permettant d’assurer le paiement du Service.

Le Client garantit l’exactitude des informations susmentionnées et s’engage à maintenir en permanence son accès à l'adresse email déclarée qui, à défaut d’autre moyen convenu dans des Conditions Particulières, sera utilisée pour toute communication officielle à l’adresse du Client à l'initiative de NumSpot. En particulier, cette adresse email sera utilisée pour les communications indispensables comme notamment les modifications des Conditions Générales, les modifications des Conditions Spécifiques, les évolutions du Catalogue de Services et des Tarifs Publics, les plans d’arrêt de Service, les notifications de résiliation de Comptes Techniques pour non-usage.

2. Extension automatique du périmètre des Services

L’extension du périmètre des Services correspond, lorsque l’offre souscrite le permet, au fait pour le Client d’acquérir des Ressources supplémentaires. Le Client peut étendre le périmètre des Services selon les mêmes

modalités que leur Commande initiale ou au moyen d’outils d’extension automatique (API NumSpot) comme décrit ci-dessous.

Grâce aux outils mis à disposition par NumSpot, le Client peut développer des programmes informatiques lui permettant de commander automatiquement des Ressources NumSpot (ci-après les “Automates de Commande”) comme de nouvelles Machines Virtuelles ou du volume de stockage supplémentaire.

Il est entendu que, lorsque le Client utilise de tels Automates de Commande, il ne peut s’exonérer de ses obligations au titre des Ressources souscrites automatiquement, quand bien même la Commande résulterait d’une erreur imputable à l’Automate de Commande. Il est de la responsabilité du Client d’utiliser les Automates de Commande avec discernement et de mettre en œuvre tous les contrôles nécessaires.

ARTICLE 5. Obligations des Parties

Les obligations des Parties sont définies aux présentes Conditions Générales, dans la Matrice des responsabilités et dans les engagements de Qualité de Service.

Tout ce qui n’est pas mentionné comme étant de la responsabilité de NumSpot dans les présentes Conditions Générales est réputé être de la responsabilité du Client. Par conséquent, avant d’accepter les présentes Conditions Générales et de commencer à consommer des Ressources, le Client, qui déclare disposer de toutes les compétences nécessaires ou qu’il s’est fait assister d’un conseil compétent dans le domaine, doit analyser la Matrice des responsabilités et vérifier que les Services de NumSpot correspondent à ses besoins.

NumSpot peut fournir, sur demande et dans le cadre de Services Professionnels, une prestation

d’accompagnement.

Par ailleurs, le Client s’engage aussi à respecter les obligations ci-dessous.

1. Obligation de diligence

La résilience des Services induite par l’utilisation des Snapshots permet la reconstruction d’un système, mais reste tributaire de facteurs dépendants de l’architecture mise en place par le Client.

Il est précisé au Client que le stockage persistant peut être corrompu pour diverses raisons (mauvaise manipulation, malveillance, etc.). En conséquence, les plans de sauvegarde ou de reprise d’activité du Client ne peuvent pas se fonder seulement sur la résilience naturelle de l'Infrastructure NumSpot, mais doivent mettre en œuvre une politique structurée de sauvegarde. Il est donc non seulement de la responsabilité du Client de faire des Snapshots, mais également de réaliser des sauvegardes de ses volumes pour être en mesure de revenir à un état connu.

Plus généralement, le Client doit mettre en œuvre les mesures nécessaires permettant la récupération de ses Données ou la limitation de la perte de ses Données. Ainsi, et de convention expresse, le Client définit et met en œuvre une politique de sécurité et de sauvegarde de ses Données conforme aux règles de l’art et à la sensibilité des Données, incluant notamment la sauvegarde des volumes grâce aux outils fournis par NumSpot. En cas d’absence ou de défaut de mise en œuvre par le Client d’une politique de sécurité et de sauvegarde des Données conforme à l’état de l’art et à la sensibilité des données, NumSpot décline toute responsabilité pour la perte des Données du Client.

Afin de s’assurer d’une sécurité maximale, la politique du Client doit prévoir que ces Données puissent être disponibles sur plusieurs zones de disponibilités, étant établi que chaque zone de disponibilité d’une Région est sur des centres de données différents.

Le Client s’engage en particulier à ne pas utiliser les Services mis à sa disposition par NumSpot dans le cadre d’une

activité soumise à autorisation sans avoir obtenu au préalable une telle autorisation. Le Client déclare faire son

affaire personnelle de ces formalités et autorisations. Les pièces justificatives de ces autorisations nécessaires seront fournies à NumSpot à première demande.

Si le Client envisage de lancer une opération marketing, de communication, un audit sur ses systèmes hébergés chez NumSpot, etc. susceptibles de provoquer un accroissement important de sa consommation de Ressources (bande passante, mémoire ou calcul), il lui revient, dans le cadre de son devoir de collaboration, d’en informer NumSpot préalablement au lancement de ladite opération, et ce dans un délai raisonnable, afin notamment d’éviter que cet accroissement soudain d’activité ne soit analysé comme une anomalie de sécurité et n’entraîne une éventuelle suspension temporaire des Services.

Le transfert de ses Données par le Client dans le cadre de l’exercice de la réversibilité telle que précisée à l’article

7 « Réversibilité » est sous l’entière responsabilité du Client.

2. Obligation d’usage raisonnable

Le Client s'engage à faire un usage raisonnable et de bonne foi des Ressources mises à sa disposition par NumSpot. Un tel usage doit rester en toutes circonstances conforme à la réglementation en vigueur, à l’activité et à l’objet social du Client (ci-après un “Usage Raisonnable”).

Le Client s'interdit en conséquence toute activité qui aurait pour conséquence un usage non raisonnable des équipements et matériels sous-jacents aux Services fournis. Il en est ainsi de toute activité qui aurait pour conséquence une usure prématurée des supports de stockage (notamment les disques durs) mis directement ou indirectement à sa disposition et des activités de cryptomining de monnaies virtuelles (telles le CHIA, le BitCoin, l'Ethereum, etc.) sans que cette liste soit exhaustive.

Plus généralement, est réputé être un usage non raisonnable toute utilisation des Ressources mises à disposition par NumSpot pouvant perturber le bon fonctionnement des Services et de l’Infrastructure NumSpot ainsi que des Ressources des autres clients.

Les Tests d’intrusion expressément autorisés par NumSpot tels que définis à l’article 17 « Audits » entrent par exception dans le cadre d’un usage raisonnable.

De convention expresse, il y aura une présomption de responsabilité du client, notamment si NumSpot constate :

- l'usure prématurée de ses équipements parce que le Client n’a pas fait un Usage Raisonnable des Ressources mises à sa disposition,

- des opérations abusives ayant pour origine une ou plusieurs des Ressources du Client (tels que « flood

», « scan », « spam », « dénis de service », etc.).

Conformément à l’article 6 « Suspension, cessation d’utilisation et résiliation des Services », en cas d’usage non raisonnable du Client, NumSpot pourrait immédiatement bloquer les Ressources incriminées, voire tous les Services et lancer la procédure de résiliation des Présentes, sans préjudice pour NumSpot (i) du droit d'obtenir du Client l'indemnisation des matériels ainsi prématurément usés que le Client s'engage irrévocablement à rembourser sur présentation de la facture du fournisseur et (ii) du droit de réclamer des dommages-intérêts..

En outre, le Client doit mettre en œuvre les procédures adéquates, dans le cadre de l’utilisation des Services, afin que ses utilisateurs et clients finaux fassent un Usage Raisonnable des Ressources NumSpot et en particulier conforme aux exigences légales, réglementaires et contractuelles.

3. Obligation de collaboration

Les Parties s’engagent à collaborer de bonne foi en vue de la bonne réalisation des Services, et notamment à communiquer proactivement les informations en leur possession qui pourraient être utiles à l‘autre Partie (en particulier, les éventuels dysfonctionnements rencontrés).

Le Client s’engage à nommer un responsable technique, dont l’adresse email est associée au Compte Technique,

ayant les compétences techniques et la capacité juridique nécessaire pour :

- Autoriser et gérer les extensions du périmètre des Services,

- Intervenir sur les Ressources mises à disposition par NumSpot,

- Gérer le Compte Technique, et en particulier s’assurer que les informations de paiement sont toujours valides, afin d’éviter tout retard de paiement,

- Recevoir et traiter les notifications transmises par NumSpot.

NumSpot envoie les notifications relatives aux présentes Conditions Générales à l’adresse email du contact renseigné par le Client. Le Client s’engage à notifier NumSpot sans délai de tout changement dans les contacts à notifier dans le cadre des présentes.

4. Obligation de réception

De par la nature continue des Services fournis, il est mis en place une recette, « réception » au sens du Code civil, des Services, dite « au fil de l’eau ». Tous les Services fournis par NumSpot sont donc provisoirement recettés par le Client au fur et à mesure qu’il les consomme.

La recette définitive est prononcée de plein droit quarante-huit (48) heures après la recette provisoire à défaut par le Client de notification à NumSpot, par mail dans les quarante-huit (48) heures de la recette provisoire, de l’existence d’une réserve motivée affectant le Service. Ladite notification devra documenter la réserve formulée : date, heure de début et fin de la période d’indisponibilité justifiée au moyen des outils à sa disposition. Aucune réserve ne pourra être formulée au-delà du délai mentionné ci-dessus. Le défaut de documentation conforme d’une réserve formulée vaudra levée de celle-ci.

5. Obligation de se faire conseiller

En souscrivant des Services Professionnels, le Client peut commander à NumSpot une mission de conseil pour l’aider à migrer dans le cloud et, en particulier, définir les Spécifications des Ressources NumSpot qui conviennent à ses besoins.

Hors de cette hypothèse, NumSpot n’assume pas de devoir de conseil quant à l’adéquation des Services qu’elle propose aux besoins du Client. Il revient donc au Client, si besoin aidé par un professionnel du cloud computing lorsque le Client ne dispose pas de l’expertise en interne, d’analyser les offres proposées par NumSpot, ainsi que les présentes Conditions Générales, et de vérifier qu’elles correspondent à ses besoins, notamment, en termes de sécurité.

ARTICLE 6. Suspension, cessation d’utilisation et résiliation des Services

1. Suspension des Services

NumSpot se réserve le droit de suspendre les Services du Client et de bloquer les Ressources qu’elle lui fournit :

a. A la demande d’une autorité judiciaire ;

b. En cas de demande motivée d’une autorité administrative ;

c. En cas de risque pour la sécurité des Services et des Données des Clients ou en cas d’Usage non raisonnable (au sens de l’article 5 « Obligations des Parties ») des Ressources ;

d. En cas de défaut de paiement par le Client d’une ou plusieurs factures arrivées à échéance.

Pour les cas mentionnés aux points a), b) et c) NumSpot peut procéder immédiatement à la suspension ou à la limitation d’accès aux Services après avoir avisé préalablement le Client par tout moyen, sauf injonction contraire de l’autorité judiciaire ou administrative.

Pour le cas mentionné au point d) XxxXxxx peut procéder à la suspension des Services après mise en demeure

adressée au Client restée infructueuse à l’issue du délai de 7(sept) jours calendaires .

La responsabilité de NumSpot ne saurait être engagée à raison des éventuelles conséquences dommageables de la suspension ou du blocage des Services sur les activités du Client.

Pour les cas mentionnés aux points c) et d) la suspension des Services ne prolonge pas la durée des Services à durée déterminée, notamment les Réserves d’Instance.

2. Cessation d’utilisation des Services par le Client

Comme indiqué en préambule, le Client peut, à sa seule convenance, cesser à tout moment d’utiliser les Services

de NumSpot. Les présentes Conditions Générales resteront néanmoins en vigueur tant que le Client n’aura pas :

a. mis en œuvre à son initiative la procédure de réversibilité de l’article 7 « Réversibilité » des présentes, et

;

b. fait l’objet d’une résiliation au titre du point 3 ci-après selon les procédures qui y sont décrites.

En tout état de cause, même en cas de cessation d’utilisation des services par le Client, sauf dans le cas de la procédure de Résiliation en cas de non-acceptation de nouvelles conditions générales prévue ci-après, la dernière version des Conditions Générales seront applicables aux relations entre le Client et NumSpot jusqu’à la Date de Résiliation Effective.

3. Résiliation des Services

a. Résiliation pour manquement

En cas de manquement aux obligations des présentes Conditions Générales, et en particulier en cas de défaut de paiement du Client, la Partie victime des manquements met en demeure par email, la Partie défaillante de remédier au manquement dans un délai de 7 (sept) jours calendaires. Si cette mise en demeure reste infructueuse à l’issue de ce délai, la Partie victime des manquements pourra notifier, par email, à la Partie défaillante la résiliation de tout ou partie des Commandes. Dans ce cas, la résiliation sera effective, de plein droit, 10 (dix) jours calendaires après l’envoi de l’email de résiliation. À compter de cette Date de Résiliation Effective, les Données du Client ne seront plus accessibles conformément à l’article 7 « Réversibilité » ci-après.

Ladite résiliation est sans préjudice d’éventuels dommages-intérêts qui pourront être réclamés à la Partie

défaillante par l’autre Partie.

b. Résiliation en cas de non-acceptation de nouvelles conditions générales

Si le Client souhaite résilier la totalité des Services à raison de son refus de nouvelles conditions générales, il devra notifier cette décision par écrit avant l'entrée en vigueur de ces nouvelles conditions. Cette notification ouvrira à son égard la période de réversibilité prévue à l’article 7 « Réversibilité ».

Si le Client dispose de Réserves d’Instances, il bénéficiera d’un remboursement prorata temporis correspondant à la durée entre la date de la Résiliation Effective et la date d’expiration de la Commande sur la base du montant facturé.

c. Inactivité du Compte du Client

En cas de cessation d'utilisation de ressources par le Client pendant plus de 12 (douze) mois consécutifs, NumSpot pourra à sa seule discrétion procéder à la suppression du Compte du Client et en conséquence toutes les données afférentes à ce Compte.

En ce cas, NumSpot notifie au Client l’application de cette disposition par courrier électronique adressé à l’adresse mail du Compte. À compter de cette notification le Client disposera d’un délai de 3 (trois) mois jour pour jour (la Date de Résiliation Effective) après l'envoi de cette notification pour mettre en œuvre la procédure de réversibilité mentionnée à l’article 7 « Réversibilité » ci-après.

A défaut de mise en œuvre de cette procédure avant la Date de Résiliation Effective les présentes Conditions Générales seront résiliées de plein droit et NumSpot procédera à la suppression du Compte du Client et en conséquence toutes les données afférentes à ce Compte.

ARTICLE 7. Réversibilité

1. Récupération des Données

Lorsqu’un ou plusieurs Services sont résiliés, pour quelque raison que ce soit, et que l’initiative de la résiliation vienne du Client ou de NumSpot, le Client doit impérativement récupérer et effacer toutes les Données présentes sur son ou ses Comptes Techniques impactés par la résiliation avant la Date de Résiliation Effective.

Si la Résiliation de tous les Services est à l’initiative du Client, il est de sa responsabilité de récupérer l’ensemble de ses Données avant la demande de résiliation et la clôture des Comptes. Les Données qui n’auront pas été effacées par le Client seront conservées par NumSpot pour une durée maximum de 90 (quatre-vingt-dix) jours.

Le Client pourra demander à NumSpot une Prestation de Récupération des Données. De convention expresse, la Date de Résiliation Effective est fixée 90 (quatre-vingt-dix) jours après le jour de l'envoi de la notification de résiliation par le Client ou NumSpot selon le cas.

Si le Client souhaite que ses Données soient effacées avant le délai de 90 (quatre-vingt-dix) jours, le Client pourra demander une suppression des Données anticipée à NumSpot.

En cas d’impossibilité pour le Client d’accéder à ses Données afin de les récupérer, notamment dans le cas où NumSpot a suspendu les Services conformément à l’article 6 « Suspension », cessation d’utilisation et résiliation des Services ci-dessus, il doit impérativement commander à NumSpot une Prestation de Récupération des Données avant la Date de Résiliation Effective.

La commande de Prestation de Récupération des Données se fait auprès du support NumSpot qui émet un devis. Si le Client accepte le devis, les Données du Client sont récupérées par NumSpot, puis transmises au Client dès le paiement du prix de la Prestation de Récupération des Données. Cette commande reporte la Date de Résiliation Effective au jour de la réception par le Client des Données transmises par NumSpot.

Des précisions sont apportées sur les mécanismes de réversibilité adaptés aux Services dans la Documentation Publique.

2. Effacement des Données

NumSpot s’engage à supprimer les Données du Client selon ses instructions, telles qu’elles sont décrites au présent article.

À compter de la Date de Résiliation Effective (à minuit heure de Paris) et à défaut d'instruction contraire du Client, NumSpot procède à la clôture du ou des Comptes Technique(s), toutes les Données seront alors immédiatement inaccessibles pour le Client et seront irrévocablement effacées par NumSpot dans un délai de 90 (quatre-vingt- dix) jours calendaires, à l’exception de certaines Données expressément mentionnées ci-dessous.

Le fait que la Date de Résiliation Effective ne tombe pas un jour ouvré n’a pas pour effet de la décaler.

Les données d’identification mentionnées au décret n°2021-1362 du 20 octobre 2021 seront conservées dans les conditions et délais prévus au décret en cas d’effacement des Données conformément à la procédure ci-dessus. De plus, le Client est informé que certaines Données ne peuvent pas être effacées, dans le cas de partage de Données à des tiers à l’initiative du Client, comme le partage d’Images Machine.

ARTICLE 8. Engagements de Qualité de Service

NumSpot fournit les Services conformément aux niveaux de Service tels que décrits à l’Annexe 3.

L’application des SLA suppose le respect par le Client de certaines conditions, et notamment le respect par le

Client des obligations définies dans la Matrice des responsabilités.

Il est entendu que seront décomptées des temps d’indisponibilité les interventions de maintenance planifiées,

sous réserve que NumSpot en ait averti le Client au moins 2 (deux) jours calendaires à l’avance.

Sera également exclue des temps d’indisponibilité toute intervention qui aura pour but de protéger les Données Client ou l’Infrastructure contre un risque majeur exceptionnel comme une vulnérabilité de sécurité critique, une cyberattaque massive ou tout autre événement revêtant les caractéristiques de la force majeure telle que précisées à l’article 11 « Force Majeure des Conditions Générales ».

Les manquements aux SLA à prendre en compte sont uniquement ceux qui ont fait l’objet d’une notification de réserve conformément à l’article 5 « Obligations des Parties » « Obligation de réception » des Conditions Générales.

Le Client disposera d’un délai de 5 (cinq) jours calendaires à compter de la fin de la période considérée pour

notifier à NumSpot l’application des pénalités.

Le Client devra joindre à sa notification :

- Le calcul montrant que NumSpot a manqué à ses engagements de Qualité de Service sur la période considérée pour des Services non recettés définitivement,

- Les références des réserves notifiées (au sens de l’article 5 « Obligations des Parties » « Obligation de réception » des Conditions Générales) à l’appui de son calcul.

Si le Client a correctement documenté et démontré les manquements de NumSpot, il bénéficiera d’un crédit à valoir sur le prix des Services, valable pendant une durée de 1 (un) an, dont les montants et modalités de calculs sont définis à l’Annexe 3.

Si le Client dispose de plusieurs Comptes Techniques, les crédits mentionnés ci-dessus qu’il acquiert en raison d’un manquement de NumSpot sur une Commande associée à un Compte Technique ne sont pas utilisables pour consommer des Services dans le cadre d’une autre Commande attachée à un autre Compte Technique.

Le fait pour le Client de ne pas réclamer les pénalités au-delà de la durée susmentionnée vaut renonciation définitive de celui-ci au bénéfice de ses réserves notifiées, lesquelles seront réputées n’avoir jamais existé.

En tout état de cause, toutes les pénalités ne peuvent excéder 30 % (trente pour cent) du montant de la facture du mois durant lequel les incidents ayant généré les pénalités se sont produits.

En outre, les pénalités constituent toujours une indemnité forfaitaire et définitive de dommages-intérêts pour ce

qui concerne les incidents à l’origine des pénalités, ces pénalités ayant un caractère libératoire.

Par ailleurs, dans le cas où le Client se retrouverait en situation de retard de paiement, sans que NumSpot n’ait interrompu les Services, le système de pénalité serait alors automatiquement suspendu, et ce tant que le Client ne sera pas à jour de ses paiements. En outre, les pénalités qui auraient pu être exigées par le Client pendant la période de suspension des pénalités seront perdues.

ARTICLE 9. Propriété intellectuelle

1. Propriété des technologies servant à délivrer les Services

Les présentes Conditions Générales n’emportent aucun transfert ou cession de droits de propriété intellectuelle et industrielle sur les éléments servant à fournir les Services (l’orchestrateur XXXX de NumSpot en particulier) qui appartiennent à NumSpot ou au titulaire des droits de propriété intellectuelle sur ces éléments.

En outre, il est précisé qu’il est strictement interdit au Client de :

● Reproduire l’un quelconque des éléments servant à fournir les Services : code informatique, textes,

images, design, charte graphique, ergonomie, documentation, etc.

● Chercher à reconstituer les technologies appartenant à NumSpot, en particulier, par les méthodes de

l’ingénierie inverse.

Nonobstant ce qui précède, NumSpot concède au Client, à titre personnel, révocable et non exclusif, les droits sur les éléments ci-dessus dans la stricte mesure nécessaire pour utiliser chaque Service, ladite concession prenant automatiquement fin en même temps que ledit Service, à savoir :

● pour ce qui concerne les Services à durée déterminée, la date d’échéance de la Commande,

● pour ce qui concerne les Services On Demand, les droits sont concédés chaque fois que le Client utilise

un Service et durent jusqu’à ce qu’il cesse de l’utiliser.

2. Données et autres éléments transmis à NumSpot par le Client

Les présentes n'emportent aucun transfert ou cession sur les Données que le Client transmet à NumSpot dans le cadre des Services, par exemple les Données que le Client stocke et traite sur les Ressources mises à disposition par NumSpot.

Nonobstant ce qui précède, le Client concède à NumSpot, à titre personnel et non exclusif, les droits sur les éléments ci-dessus dans la stricte mesure nécessaire pour que NumSpot puisse fournir les Services et uniquement pour la durée de ceux-ci, ladite concession prenant automatiquement fin en même temps que celui-ci.

3. Signes distinctifs des Parties

Chaque Partie s’interdit tout agissement et tout acte susceptible de porter atteinte directement ou non aux signes distinctifs de l’autre Partie, sans préjudice pour NumSpot de citer le Client en référence et pour le Client de mentionner qu’il utilise les Services NumSpot. Toutefois, chaque Partie, sans avoir à le motiver, peut notifier à l’autre Partie de ne plus la citer.

4. Licences tierces

Lorsqu’une licence est nécessaire pour l’utilisation d’un logiciel tiers, le Client s’engage à respecter les termes de la licence des logiciels tiers qui lui sont fournis dans le cadre des Services dans la Documentation Publique xxxx://xxxxxxxx.xxxxxxx.xxx

5. Garantie contrefaçon

NumSpot s’engage à défendre le Client au titre de toute réclamation formulée par un tiers selon laquelle un Service fourni en application des présentes constituerait la contrefaçon d’un droit d’auteur protégé dans tout pays ou d’un brevet délivré dans un état membre de l’Organisation Européenne des Brevets, et à payer l’ensemble des dépenses, dommages et intérêts et frais (y compris les honoraires d’avocat d’un montant raisonnable) que le Client aura été condamné à payer par toute juridiction compétente ou qui auront fait l’objet d’un accord transactionnel écrit et signé par NumSpot au titre d’une telle réclamation, à condition :

(i) que le Client avertisse NumSpot par écrit et dans les meilleurs délais de la réclamation et,

(ii) que le Client autorise NumSpot à conduire seule la défense ainsi que toutes négociations en vue d'une transaction, et apporte à NumSpot sa coopération raisonnable à cet effet.

Si une telle réclamation est formulée ou si, selon NumSpot, elle est susceptible de l’être, NumSpot pourra à ses frais, soit obtenir pour le Client le droit de continuer à utiliser le Service NumSpot applicable, soit modifier le Service de manière à le rendre non contrefaisant, soit le remplacer par un autre Service disposant de fonctions équivalentes. Si aucune des options qui précèdent n’est possible à des conditions jugées raisonnables par NumSpot et le Client, le Client pourra résilier les Services concernés. NumSpot s’engage à rembourser toutes les sommes payées d’avance aux termes des présentes mais non utilisées pour ce qui concerne le Service concerné, sans préjudice de tout autre droit et recours du Client.

NumSpot n’est aucunement tenue de défendre ou d’indemniser le Client dès lors que la réclamation en contrefaçon serait causée par une modification non autorisée ou en violation des présentes par le Client des droits d’auteur portant sur les Services.

ARTICLE 10. Responsabilité

1. Responsabilité

En tout état de cause, la responsabilité civile de NumSpot (pour les préjudices dont le Client devra rapporter la preuve), toutes causes confondues, à l’exception des dommages corporels et de la faute lourde, est limitée aux plafonds définis ci-dessous.

Cette limitation de responsabilité est notamment liée au montant des Services fournis, aux avantages techniques et financiers que procurent les Services au Client et à l’absence de maîtrise de NumSpot sur la valeur propre des Données du Client.

De convention expresse, NumSpot décline toute responsabilité quant aux dommages indirects ou aux dommages immatériels, tels que, notamment : perte d’exploitation, perte de chiffre d’affaires, perte de données ou corruption d’application, désorganisation, atteinte à l’image de l’autre Partie, etc.

Il existe différents plafonds de responsabilité, à savoir la somme maximum (incluant ses fournisseurs et sous- traitants) que devra verser NumSpot en cas de manquement à ses obligations contractuelles, lesquels s’appliquent conformément aux règles stipulées dans le tableau ci-dessous.

Cause de la responsabilité	Existe-t-il des pénalités contractuelles couvrant la cause de la responsabilité ?	Plafond applicable
Toute cause sauf faute lourde ou atteinte à l’intégrité des personnes	Si oui	Plafond des pénalités associées aux SLA
	Si non	Plafond général
Faute lourde ou atteinte à l’intégrité des personnes	Non applicable	Aucun plafond n’est applicable

a. Plafond Général

Il s’agit de la somme plafonnée au plus faible des montants suivants :

1) à la moitié du montant hors taxes encaissé par NumSpot au cours de la période de 12 (douze) mois précédant la date de survenance du dernier fait dommageable,

2) à douze fois le montant du dernier mois de consommation du Service dont la défaillance est la cause

initiale du fait dommageable, à l’exclusion de tout autre Service fourni au Client,

3) au préjudice direct subi par le Client à raison de la survenance du fait dommageable.

Le seuil de déclenchement est fixé à partir de 5 000 (cinq-mille) euros de préjudice. Si le seuil est atteint, c’est la totalité du préjudice jusqu’à la hauteur du plafond qui doit être réparé.

b. Plafond des pénalités associées aux SLA

Lorsqu’elles trouvent à s’appliquer les pénalités associées au SLA ont de convention expresse un caractère libératoire pour NumSpot, en conséquence elles constituent une indemnisation forfaitaire de l’ensemble des préjudices résultant du non-respect par NumSpot des SLA concernés, le Client déclarant renoncer expressément à toute autre demande ou réclamation de ce chef.

c. Absence de plafond

À toutes fins utiles, il est précisé que ces limitations de responsabilité ne s’appliquent pas, conformément à la loi

et la jurisprudence, en cas de faute lourde.

2. Autres stipulations liées à la responsabilité

Dans le cadre des présentes, les cas d’engagement de responsabilité nécessitent que la Partie qui se prétend victime d’un dommage apporte la preuve que l’obligation dont elle se prévaut n’a pas été exécutée par la faute de l’autre Partie.

En cas d’obligation de ne pas faire, la faute sera présumée si la Partie victime démontre seulement que l’obligation de ne pas violer des lois, règlements, et prescriptions administratives, actuelles et futures applicables à l’activité d’une Partie n’a pas été exécutée.

Dans l’hypothèse où NumSpot serait tenue pour responsable d’un manquement du Client à la réglementation, y compris fiscale, le Client s’engage à indemniser intégralement NumSpot.

3. Garantie

Dans l’hypothèse d’une éventuelle condamnation de NumSpot en raison de l’illégalité de tout ou partie des Données du Client (notamment au titre de la violation sur la Législation des Données Personnelles, l’incitation à la haine raciale, la contrefaçon, les données de santé, la pédocriminalité, etc.), le Client devra, sans limitation, garantir NumSpot des condamnations, frais et honoraires exposés, et plus généralement de tous les préjudices consécutifs qu’elle aura pu subir en raison de la faute commise par le Client.

ARTICLE 11. Force Majeure

Aucune des Parties ne peut voir sa responsabilité engagée pour inexécution totale ou partielle de ses engagements en cas d’événement présentant les caractéristiques de la force majeure telle que définie à l’article 1218 du Code civil. De convention expresse, sont également réputés événements de force majeure, toutes les atteintes aux systèmes d'information automatisés, (sous réserve que la Partie défaillante ait mis en œuvre une politique de sécurité raisonnable), les dysfonctionnements majeurs du réseau Internet et les dysfonctionnements électriques, les conséquences matérielles des mesures limitant la liberté de circulation ou d’approvisionnement destinées à lutter notamment contre les pandémies, les incendies, les grèves du personnel et les guerres ou menaces de guerres, embargo ou sanctions économiques internationales.

Si, à cause des événements revêtant les caractéristiques de la force majeure, NumSpot est dans l’impossibilité de mettre à la disposition du Client les Ressources à durée déterminée qu’il a commandées, la durée de sa Commande sera automatiquement prorogée de la durée de la période d’indisponibilité des Ressources.

ARTICLE 12. Assurance

Lorsque le Client entend opérer des Données critiques ou stratégiques (par exemple, des données de facturation, de paie, des éléments de R&D, etc.) sur les Services NumSpot, il revient au Client de souscrire une assurance couvrant la perte de données.

NumSpot certifie être titulaire d’une police d’assurance auprès d’une compagnie d’assurance notoirement solvable, couvrant sa Responsabilité Civile Professionnelle et Civile d’Exploitation et s’engage à le rester pendant toute la durée de l’engagement des Parties.

NumSpot pourra fournir, sur demande du Client, une copie de l’attestation d’assurance moyennant le paiement

de frais de gestion.

ARTICLE 13. Renonciation à recours des tiers

Dans le cas où le Client utilise des Services NumSpot pour fournir un service à des tiers qui ne connaissent ni NumSpot ni les Conditions Générales, ces tiers ne peuvent pas les invoquer dans le cadre d’un recours à l’encontre de NumSpot.

Le Client s’engage à stipuler, dans ses accords avec ses propres clients une clause de renonciation à recours à

l’encontre de NumSpot.

Dans tous les cas, si le Client omet de stipuler une telle clause de renonciation à recours ou si celle-ci devait être invalidée ou écartée pour quelque raison que ce soit, le Client garantit NumSpot de toutes les condamnations suite à un recours d’un tiers à l’encontre de NumSpot.

ARTICLE 14. Données Clients

1. Principes généraux

NumSpot recommande au Client de chiffrer ses Données et de conserver les clés de chiffrement. NumSpot n’a pas connaissance des Données du Client et s’engage à ne pas y accéder.

Le Client est responsable de ses Données. Le Client s’engage notamment à réaliser des sauvegardes de ses Données. Cette sauvegarde est sous la responsabilité du Client. Le Client est également responsable de la redondance de ses systèmes et des Données que ce soit avec des services fournis par NumSpot ou par d’autres prestataires que NumSpot.

Il appartient notamment au Client, en fonction de ses besoins de sauvegarde des Données, d’utiliser les services de snapshot et de stockage objet fournis par NumSpot selon les engagements de niveaux de services détaillés à l’annexe 3.

2. Données personnelles

Les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement des Données Personnelles et, en particulier, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.

Les aspects relatifs à la protection des données personnelles sont traités conformément à l’annexe 2.

ARTICLE 15. Confidentialité

Les Parties, dans le cadre des Services et plus généralement de leurs relations contractuelles, seront amenées à

s’échanger des informations confidentielles leur appartenant, à savoir toutes les informations :

(i) qu’une Partie divulgue à l’autre Partie avec la mention « Confidentiel », « Secret » ou avec d’autres

xxxxxxx ou signes qui indiquent la nature confidentielle des informations ; ou,

(ii) qui, en raison de leur caractère ou des circonstances de leur divulgation, seraient considérées comme confidentielles par une personne raisonnable dans une position et des circonstances similaires ; ou enfin,

(iii) les informations contenues dans la déclaration d’applicabilité NumSpot et toutes celles qui concernent

XXXX l’orchestrateur propriétaire de NumSpot.

Toutes les informations répondant aux conditions ci-avant, ci-après appelées les « Informations Confidentielles », seront confidentielles quelle que soit leur forme et leur nature – et notamment les informations techniques, commerciales, financières, etc. – leur support et leur mode de transmission, y

compris évidemment les informations échangées par voie électronique.

NumSpot et le Client s’engagent :

- à ne communiquer les Informations Confidentielles à qui que ce soit sans autorisation écrite de la Partie les ayant divulguées,

- à prendre à l’égard de ces Informations Confidentielles, pour prévenir et empêcher leur divulgation,

toutes mesures appropriées,

- à ne faire directement ou indirectement aucun autre usage de ces Informations Confidentielles que leur utilisation dans le cadre des Services,

- à limiter la communication de ces Informations Confidentielles aux seuls membres du personnel ayant à en connaître dans le cadre des Services, à se porter fort pour eux du respect de ces engagements en tant que de besoin,

- aux termes des Services, ou le cas échéant à la cessation anticipée de celle-ci, à restituer ou à détruire promptement tous les éléments et documents constitutifs de ces Informations Confidentielles en leur possession et à n’en conserver ni copie, ni extrait, ni reproduction sous quelque forme que ce soit.

Les engagements ci-dessus survivent 5 (cinq) ans après la fin des Services, pour quelque cause que ce soit. Les obligations de confidentialité énoncées ci-dessus ne sont pas applicables à des informations :

(i) qui étaient au moment de leur divulgation, dans le domaine public, ou qui y sont tombées depuis

sans faute de la Partie qui les a reçues ;

(ii) qui étaient déjà connues de la Partie qui les a reçues au moment de leur divulgation et à condition

qu’elle puisse le prouver ;

(iii) qui ont été communiquées, à la Partie qui les a reçues, par un tiers qui n’était pas soumis à un

engagement de confidentialité vis-à-vis de la Partie qui les a émises.

ARTICLE 16. Contrôle des exportations, données contrôlées et sanctions

La fourniture des Services et l’échange d’informations en application des présentes sont soumis à l’ensemble des

Réglementations en matière de Contrôle des Exportations.

« Réglementation en matière de Contrôle des Exportations » désigne toutes les lois et réglementations applicables en matière de contrôle des exportations et programmes de sanction au niveau mondial, notamment, à titre non limitatif, le Règlement (UE) n° 2021/821 du Conseil de l'Union Européenne ainsi que les réglementations américaines relevant de l’Export Administration Regulations (EAR), les sanctions de l'Office of Foreign Assets Control (OFAC) pour les Specially Designated Nationals (SDN).

« Données contrôlées » désigne toute information (i) nécessaire au développement, à la production, à l'assemblage, au fonctionnement, à la réparation, au test, à l'entretien ou à la modification d'un produit, sous toute forme tangible ou intangible (y compris, mais sans s'y limiter, les communications écrites ou orales, les dessins, les fichiers de conception assistée par ordinateur, les plans, les modèles, les photographies, les instructions, la conception technique et les spécifications) relevant de toute catégorie de la liste des articles contrôlés de toute réglementation applicable en matière d'exportation ; ou (ii) pour laquelle des exigences de cybersécurité sont imposées aux systèmes de technologie de l'information utilisés pour son stockage ou son transfert. À moins qu’un accord séparé ou des Conditions Particulières ne le prévoient, les Parties devront s’abstenir de divulguer des Données contrôlées.

Le Client garantit à NumSpot que les Services commandés aux termes des présentes ne seront pas utilisés en violation des Réglementations en matière de Contrôle des Exportations, y compris à des fins de prolifération d’armes ou de systèmes de lancement de missiles nucléaires, chimiques ou biologiques et qu’elles ne seront pas détournées au profit de tout pays, toute société ou toute personne physique si cela est interdit par les Réglementations en matière de Contrôle des Exportations.

Le Client s’engage à s’abstenir et à s’assurer que tous les utilisateurs du Client s’abstiennent de traiter, stocker ou

télécharger toutes Données contrôlées.

Les obligations de NumSpot en vertu des présentes seront soumises et conditionnées au respect de la Réglementation en matière de Contrôle des Exportations. NumSpot peut résilier ou suspendre à tout moment les présentes et toutes les ressources fournies en vertu des présentes, ou plus généralement cesser ou suspendre l'exécution de ses obligations en vertu des présentes si le Client viole les dispositions des présentes relatives au contrôle des exportations de Données Contrôlées ou si l'exécution des présentes risque de mener NumSpot à enfreindre la Réglementation en matière de Contrôle des Exportations ou à s'exposer potentiellement à des sanctions ou pénalités d’une autorité gouvernementale par la poursuite de l'exécution des présentes. Une telle suspension ou résiliation prendra effet sur notification écrite adressée au Client avec effet à la date stipulée dans cette notification.

ARTICLE 17. Audits

1. Audit du respect des obligations des Conditions Générales

Le Client pourra, dans la limite d’une fois par an et à ses frais, lorsque cette demande est dûment motivée et qu’elle porte sur un sujet hors des périmètres des différents référentiels de qualification ou certification, faire réaliser un audit du respect des obligations des Conditions Générales par un tiers auditeur validé par NumSpot. La liste de ces auditeurs est mise à la disposition du Client sur demande.

Le Client reconnaît que XxxXxxx pourra refuser le tiers auditeur s'il s'avère être concurrent direct ou indirect ou si elle a des raisons de suspecter un conflit d'intérêt ou pour tout autre motif légitime.

Les Parties déterminent ensemble la date de l’audit dans les meilleurs délais.

Les résultats de l'audit seront, le cas échéant, exploités par les deux parties dans le but d'apporter des solutions aux éventuelles non-conformités identifiées.

NumSpot s'engage également à fournir ou rendre consultables les documents démontrant le respect de ses obligations au titre de l’article 28 du règlement général sur la protection des données (RGPD) (UE) 2016/679 et au titre des exigences des référentiels auxquels NumSpot garantit se conformer dans le cadre des Conditions Générales. Les modalités de communication et de confidentialité sont déterminées par NumSpot en fonction du niveau de sensibilité des informations concernées.

2. Test d’intrusion

Le Client est uniquement autorisé à procéder à des opérations d’évaluation du niveau de sécurité et de recherche de vulnérabilités de ses Données ainsi que des Ressources qu’il utilise exclusivement dans les strictes limites et modalités définies au présent article (ci-après les “Tests d'intrusion”).

Les Tests d’intrusion sont autorisés sous réserve de notifier préalablement NumSpot 1 (un) mois avant leur commencement en créant un ticket auprès du support NumSpot.

Le Client veille et déclare avoir reçu toutes les autorisations nécessaires notamment de la part de tiers afin de réaliser les Tests d'intrusion sur les Données.

Le Client est autorisé à faire réaliser les Tests d'intrusion par un tiers auditeur indépendant dûment mandaté à cet effet, sous réserve ce dernier :

- n’exerce pas d’activité concurrente de celle de NumSpot,

- ne soit pas en lien notamment juridique ou de partenariat avec l’un des concurrents de NumSpot, et ;

- ne présente pas toute autre forme de conflit d'intérêts.

NumSpot pourra, s’il justifie de raisons objectives concernant les garanties d’indépendance et d’impartialité du tiers auditeur sélectionné, refuser que l’audit soit effectué par ce tiers.

Le Client assure respecter lui-même, ainsi que de reporter et faire respecter l’ensemble des présentes conditions de réalisation des Tests d’intrusion par le tiers auditeur.

Le Client veille à réaliser les Tests d'intrusion dans le strict respect des lois et réglementations en vigueur. Le Client est seul responsable des conséquences de la réalisation de Tests d'intrusion par lui-même ou le tiers auditeur.

En aucun cas, les Tests d’intrusion ne peuvent viser les Ressources mutualisées avec d'autres Clients. Les Tests d’intrusion ne doivent en aucun cas endommager les Services (atteinte à l'intégrité, à la disponibilité, à la sécurité ou à la confidentialité des Services et Ressources).

Sont notamment expressément exclues des Tests d'intrusion les actions de :

- déni de service sur le réseau et les Ressources,

- attaque par force brute sur des environnements mutualisés,

- usurpation d'adresse IP,

- tests d'intrusion sur les APIs des services de NumSpot,

- tests d'intrusion sur les services de metadata,

- tests d'intrusion sur les instances de services de firewalls (publiques et VPCs),

- tests d'intrusion sur les instances de services de répartition de charges,

- tests d'intrusion sur les instances de services de VPN,

- tests d'intrusion sur les serveurs de licence,

- tests d'intrusion sur Cockpit,

- tests d'intrusion ou audit sur des IPs publiques qui ne seraient pas ou plus associées à des instances du client,

- attaques par déni de service sur le réseau (attaque volumétrique ou protocolaire), le stockage ou la console,

- brute-force sur les services d'API de NumSpot.

Le Client notifie NumSpot immédiatement en cas découverte de vulnérabilité ayant un impact sur la sécurité, la confidentialité, la disponibilité ou l’intégrité des Services. La réalisation des Tests d'intrusion demeure sous la responsabilité exclusive du Client. En cas de non-respect des présentes conditions de réalisation des Tests d’intrusion, NumSpot se réserve le droit de prendre toute mesure qu'elle juge nécessaire afin de faire cesser les perturbations, notamment suspendre les Ressources du Client dans les conditions de l’article 6 « Suspension, cessation d’utilisation et résiliation des Services », sans préjudice des réparations et indemnités auxquelles NumSpot pourrait prétendre.

ARTICLE 18. Clauses diverses

1. Validité des moyens électroniques

Toutes les notifications émises dans le cadre des présentes, et notamment les mises en demeure et relances du Client, seront faites par NumSpot par simple email, sauf s’il en est prévu autrement expressément.

L’heure et la date du serveur d’envoi de mail NumSpot feront foi entre le Client et NumSpot.

Il est entendu que le Client, quel que soit son statut, accepte l’usage de l’email, ainsi que des autres moyens par

voie électronique, comme moyen de notification.

Les notifications seront adressées à l’email communiqué par le Client lors de la création de son Compte Technique, qui sert d’identifiant à ce Compte Technique.

Les Parties conviennent de considérer les messages électroniques et plus généralement les documents, informations ou demandes électroniques échangés entre elles, comme des écrits d'origine sous forme électronique au sens de l'article 1367 du Code civil.

Chaque Partie s'interdit de modifier le contenu des messages électroniques qu'elle a reçus ou émis pour l'interprétation ou l'exécution des présentes.

Les Parties conviennent ainsi de conserver les éléments qu'elles s'échangent de manière qu'elles puissent constituer des copies fidèles et durables au sens de l'article 1379 du Code civil.

2. Convention de preuve

En cas de litige sur l’un des Services fournis par NumSpot dans le cadre des présentes, les Parties conviennent que la production par NumSpot des données enregistrées sur ses systèmes fait foi entre le Client et NumSpot.

3. Limites et contraintes liées aux Services Bêtas

Les stipulations du présent article, lorsqu’elles contredisent une ou plusieurs autres stipulations des Conditions Générales, prévalent toujours sur elles concernant les Services Bêtas. Les Services Bêtas sont susceptibles d’être modifiés, suspendus ou définitivement interrompus par NumSpot, sans préavis ni indemnités. Il incombe par conséquent au Client de réaliser de fréquentes sauvegardes de ses Données.

Les Services Bêtas sont fournis « TELS QUELS », par conséquent :

1) NumSpot ne garantit aucun niveau de Qualité de Service sur un Service Bêta et donc ne saurait verser quelque pénalité ni accorder des crédits de services ou avoirs en cas de dysfonctionnement d’un tel Service,

2) NumSpot, dans les limites autorisées par la loi applicable, exclut l’application de toute garantie, y compris les garanties implicites de jouissance paisible, de qualité marchande et d’adéquation à une finalité déterminée,

3) NumSpot n’assume aucune responsabilité de quelque nature que ce soit en cas de préjudice du Client lié à l’utilisation d’un Service Bêta. Si, en dépit de cette clause, la responsabilité de NumSpot devait être engagée au titre d’un Service Bêta, celle-ci serait limitée, sauf en cas d’atteinte à l’intégrité physique des personnes, à une somme globale, forfaitaire et définitive dont le montant ne saurait excéder 350 (trois cent cinquante) euros par Client,

4) NumSpot (i) recommande au Client de ne pas utiliser le Service Bêta dans un environnement de production et (ii) interdit tout utilisation d’un Service Bêta qui le ferait interagir avec des systèmes de contrôle d’installations industrielles et tous les systèmes susceptibles de causer des atteintes à l’intégrité physique des personnes.

Le fait qu’un retour d’expérience du Client permette à NumSpot d’améliorer un Service Bêta ne confère jamais aucun droit de propriété intellectuelle ou industrielle ou de quelque autre nature que ce soit au Client.

Les Services Bêtas, sauf dérogation dans leurs éventuelles Conditions Particulières, ne donnent pas lieu à facturation.

4. Responsabilité sociétale des entreprises (RSE) et anti-corruption

Les Parties reconnaissent et acceptent qu’elles ne tolèrent aucune forme de corruption dans le cadre de la

conduite de leurs affaires. En particulier, les Parties doivent :

(i) se conformer à toutes les lois, réglementations, codes et directives applicables en matière de lutte contre la corruption (« Lois Anti-corruption»), y compris, de manière non limitative, les législations anti- corruption applicable en France,

(ii) ne pas s'engager dans une activité, une pratique ou une conduite qui constituerait une infraction aux Lois Anti-corruption,

(iii) ne pas commettre directement ou par omission, tout acte qui amèneraient les Parties à enfreindre les Lois Anti-corruption ; et,

(iv) signaler rapidement toute demande d'avantage financier ou de quelque nature que ce soit reçu dans le cadre de l'exécution des présentes.

Les Parties s’informent dans les plus brefs délais, de tout événement ou fait dont elles ont connaissance qui invaliderait les déclarations et garanties données dans le présent article. Les Parties s’engagent à encourager leurs propres clients, fournisseurs et sous-traitants à adhérer aux principes évoqués ci-dessus. En cas de non-respect par l’une des Parties de l'un quelconque de ces principes, l’autre Partie sera en droit de mettre fin pour faute à la relation contractuelle avec effet immédiat et la Partie en faute s’engage à indemniser l’autre Partie contre toute perte (y compris toute perte d’exploitation, atteinte à l’image, dommage indirect ou immatériel, etc.), dommages, coûts, honoraires et dépenses encourus par la Partie en raison d'une telle violation.

Les Parties s'engagent à faire évoluer au sein de leur organisation et dans leur écosystème les principaux piliers de la norme ISO 26000 relative à la Responsabilité sociale des entreprises.

Les Parties reconnaissent et respectent les lois applicables notamment en matière de droits fondamentaux et les valeurs de l’Union Européenne relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie, à l’état de droit et aux droits sociaux et à la protection de l'environnement tels que la Déclaration Universelle des Droits de l'Homme, les Principes et Droits Fondamentaux au travail de l'Organisation Internationale du Travail, les Directives de l'OCDE pour les entreprises multinationales et la Convention des Nations Unies sur les Droits de l'Enfant. Les Parties s'engagent contre le travail des enfants, le travail forcé et la discrimination. Elles s'engagent à garantir la liberté syndicale, le droit à la négociation collective, une rémunération suffisante et des conditions de travail permettant d'assurer l'hygiène et la sécurité de leurs collaborateurs dans les limites du droit applicable.

Les Parties s'engagent à respecter la législation applicable sur la protection de l'environnement et à réduire leurs émissions de gaz à effet de serre en s'alignant sur les objectifs définis par les Accords de Paris.

5. Langue

Les présentes existent en langue française et anglaise. En cas de contradiction, la version française prévaut en tout état de cause.

6. Sous-traitance

NumSpot a la possibilité de sous-traiter les présentes sous réserve du respect de ses obligations notamment au titre des éventuelles Conditions Particulières ou Spécifiques.

7. Indépendance des Parties

Les présentes ne peuvent en aucun cas être interprétées comme créant un lien de société entre les Parties ou comme un contrat de location gérance ou même de sous-traitance de l'activité du Client. Elles sont exclusives de toute notion de mise à disposition de personnel entrant dans le cadre de la réglementation sur le travail temporaire.

8. Nullité d’une clause

Si l’une des clauses des présentes devait être jugée contraire à la loi, les Parties devront y substituer une autre clause conforme à la loi, et dont l’esprit sera le plus proche possible de la clause frappée de nullité.

9. Tribunal compétent et loi applicable

Les présentes sont régies par le droit français.

Les Parties chercheront à résoudre de manière amiable tout litige qui pourrait survenir entre elles à propos de

l’existence, la validité, l’interprétation ou l’exécution des présentes.

À défaut d’accord amiable, toute contestation pouvant s’élever au sujet de la formation, de l’interprétation ou de l’exécution des présentes sont soumis aux juridictions compétentes du ressort de la Cour d’appel de Versailles, exclusivement compétente, y compris en référé, nonobstant appel en garantie ou pluralité de défendeurs.

Annexe 1 - Modalités financières et de paiement

1. Prix

Le prix des Services est défini dans les Conditions Particulières ou à défaut les Tarifs Publics.

Les prix sont en euros et s’entendent hors taxes, de TVA et d’éventuelles autres taxes qui viendraient à s’appliquer

étant en sus.

Les factures sont émises mensuellement à terme échu pour les Services consommés à la demande et à terme à échoir pour les Services à durée déterminée (notamment les Réserves d’Instance). Toute ressource non consommée d’une Réserve d'Instance à son terme ne sera pas remboursée.

NumSpot se réserve le droit d'émettre des factures intermédiaires dans le cas d’une consommation dépassant un

usage habituel.

Sauf Conditions Particulières, les factures sont payables à la fin du mois de la date d'émission de la facture.

2. Fait générateur de la facturation On Demand

S’agissant de tous les Services On Demand, il suffit que le Client consomme un Service sur l’un de ses Comptes

Techniques pour que le prix de ces Ressources soit dû par le Client et facturé par NumSpot.

3. Paiement des factures

Le Client est garant de la bonne fin des paiements des factures NumSpot à leur échéance ; à cet effet, il doit notamment maintenir ses coordonnées bancaires et de facturation à jour ainsi qu’une provision suffisante sur son compte bancaire, sauf à risquer une suspension des Services et le cas échéant la résiliation des présentes.

Le moyen de paiement par défaut est le prélèvement bancaire. Le Client devra renvoyer le mandat de prélèvement dûment complété (voir Annexe 4) ainsi que le RIB du compte correspondant à la signature des présentes Conditions Générales. Le Client sera informé quatorze (14) jours avant la date du prélèvement.

En cas de retard de paiement, une indemnité forfaitaire pour frais de recouvrement d’un montant légal de 40 (quarante) euros, prévue par l’article D.441-5 du Code de commerce, sera due dès le premier jour de retard de paiement, le Client étant un professionnel.

Des pénalités de retard seront aussi dues dès le premier jour de retard de paiement au prorata temporis au taux de base de la Banque Centrale Européenne (BCE) majoré de 10 points de pourcentage. Aucun escompte ne sera accordé en cas de règlement anticipé.

En sus de l’indemnité et des pénalités ci-dessus, tout retard de paiement du Client pourra entraîner la résiliation du Contrat conformément à la procédure de l’article 6 « Suspension, cessation d’utilisation et résiliation des Services ».

À défaut de contestation d’une facture par le Client, dans un délai de 15 (quinze) jours après son émission, le Client

sera réputé l’avoir irrévocablement acceptée.

4. Contacts facturation

Le Client accepte que NumSpot lui fasse parvenir ses factures par voie électronique. Afin que NumSpot puisse assurer un suivi de sa facturation, il est nécessaire que le Client lui transmette les points de contacts de son service comptabilité.

Annexe 2 - Conditions liées aux données personnelles (DPA)

Les Parties conviennent d’encadrer les traitements de « Données Personnelles » réalisés dans le cadre des Services

fournis par NumSpot au Client.

I. Définitions

Les termes “Données à caractère personnel ou Données personnelles”, "Responsable de traitement", "Personnes Concernées", "Violation de Données Personnelles", "Traitement", "Sous-traitant", et "Autorité de contrôle" ont la même signification que dans les lois applicables en matière de protection des données.

II. Objet de l’accord

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement des Données Personnelles et, en particulier, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.

III. Traitements réalisés par les Parties en tant que Responsables de Traitements indépendants

Chaque Partie reconnaît que, pour le traitement des coordonnées professionnelles requises dans le cadre des présentes, le Client et NumSpot agissent chacun en tant que Responsables de Traitement indépendants conformément à leur politique de protection des données personnelles respectives.

Par ailleurs, afin de permettre la réalisation des Services qu’elle fournit, NumSpot traite également en qualité de Responsable du Traitement certaines Données Personnelles du Client.

Les finalités de ces traitements sont les suivantes :

- Gestion de la relation Client : les Données Personnelles traitées par NumSpot afin de gérer la relation Client (notamment la sécurité, l’amélioration des services, l’assistance, le support, la gestion commerciale, etc.) sont conservées par NumSpot pour la durée des présentes liant le Client et NumSpot à laquelle s’ajoute les délais de prescription applicables. Ces données sont traitées sur la base de l’exécution des présentes qu’elle conclut avec le Client.

- Respect d’obligations légales spécifiques : les Données Personnelles traitées par NumSpot afin de respecter certaines obligations légales (comptabilité, facturation, gestion des éventuels contentieux, etc.) sont conservées conformément à la loi applicable.

Dans ces cas spécifiques, NumSpot peut être amenée à transférer les Données à des tiers prestataires de services. Si ces prestataires sont situés hors de l’Union européenne des mécanismes de transfert basés sur les clauses contractuelles types de la Commission européenne seront mis en place.

NumSpot, conformément à la réglementation applicable, pourra réaliser des traitements ultérieurs compatibles avec la finalité initiale du traitement.

NumSpot pourra utiliser certaines informations à sa disposition pour réaliser des statistiques, pour améliorer ses Services ou pour orienter la recherche et l’innovation dans le domaine du Cloud Computing. Ainsi, dans ce but, certaines de ces informations pourront être traitées, ce que le Client reconnaît et accepte.

IV. Traitements réalisés par NumSpot en tant que Sous-Traitant ou Sous-Tratiant ultérieur

Lors de la réalisation de ses Services de Cloud Computing s’agissant du stockage des Données personnelles du

Client sur l’Infrastructure NumSpot, NumSpot agit soit :

- en qualité de Sous-Traitant, lorsque le Client agit en qualité de Responsable de Traitement, ou ;

- en qualité de Sous-Traitant ultérieur dans les cas où le Client est lui-même Sous-Traitant d’un tiers.

Le Client reconnaît et accepte qu'il est et restera à tout moment le Responsable de Traitement de toutes les Données à caractère personnel qui seront traitées en son nom dans le cadre de son accès et de son utilisation des Services.

Lorsque le Client agit en tant que Sous-traitant pour le compte d’un tiers, les Parties conviennent expressément que les conditions suivantes s’appliquent :

Le Client garantit s’être assuré que les Services sont en adéquation avec les instructions du Responsable de

Traitement.

Les présentes clauses ont pour objet de définir les conditions dans lesquelles NumSpot s’engage à effectuer pour

le compte du Client les opérations de traitement de Données à caractère personnel définies ci-après.

NumSpot est autorisé à traiter pour le compte du Client les Données personnelles nécessaires pour fournir ses Services.

Description du traitement :

- La nature et la finalité du traitement est le stockage des Données du Client sur l’Infrastructure NumSpot.

- Le type de Données Personnelles traitées sont toutes les Données à caractère personnel stockées sur

l’Infrastructure NumSpot par le Client.

- Les catégories de Personnes Concernées sont déterminées par le Client.

- La durée du traitement est la durée des Services dans les conditions décrites aux présentes.

Les mesures de sécurité techniques et organisationnelles que NumSpot s’engage à respecter sont celles décrites dans les présentes et découlent notamment du respect des normes ISO 27001 et 27018 ainsi que de la conformité de NumSpot au code de conduite CISPE.

V. Obligations des Parties lorsque NumSpot agit en tant que Sous-traitant ou Sous-traitant ultérieur

A. Obligations du Sous-traitant (ou du Sous-traitant ultérieur)

1. Finalités

Le Sous-Traitant s’engage à traiter les Données Personnelles uniquement pour la ou les finalités qui font l’objet de

la sous-traitance.

2. Instructions du Client

En tant que Sous-Traitant, NumSpot s’engage à traiter les Données Personnelles conformément aux instructions du Client. Le Contrat entre le Client et NumSpot ainsi que l’usage que le Client fait des Services fournis par NumSpot constitueront les instructions exhaustives et définitives du Client en matière de Traitement des Données. Si le Sous-Traitant considère qu’une instruction constitue une violation de la Législation sur les Données Personnelles, il en informera le Client.

3. Confidentialité

NumSpot s’engage à garantir la confidentialité des Données Personnelles traitées dans le cadre des présentes. NumSpot s’engage à veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu des présentes reçoivent la formation nécessaire en matière de protection des Données Personnelles et s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4. Protection des Données Personnelles dès la conception et par défaut

NumSpot s’engage à prendre en compte s’agissant de ses Services les principes de protection des Données Personnelles dès la conception et de protection des Données personnelles par défaut.

5. Sous-traitance ultérieure

En cas de recours à des sous-traitants ultérieurs, le Sous-traitant informe le Responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants et communique au Responsable de traitement la liste desdits sous-traitants.

6. Droit à l’information des Personnes Concernées

Il appartient au Responsable de traitement de fournir l’information aux Personnes Concernées par les opérations de traitement au moment de la collecte des Données Personnelles.

7. Exercice des droits des personnes

Dans la mesure du possible, NumSpot aide le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, droit de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des Données Personnelles, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Si les Personnes Concernées exercent auprès de NumSpot des demandes d’exercice de leurs droits, NumSpot adressera ces demandes dans les meilleurs délais par courrier électronique au Client.

8. Collaboration du Sous-Traitant

Dans le cadre du respect par le Responsable de traitement de ses obligations et dans la mesure du possible, NumSpot aide le Client pour la réalisation d’analyses d’impact relatives à la protection des Données Personnelles ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.

9. Mesures de sécurité - Mesures techniques et organisationnelles

Le Responsable de Traitement et le Sous-Traitant doivent mettre en œuvre les mesures techniques et

organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux éventuels risques. NumSpot s’engage à mettre en œuvre les mesures de sécurité prévues par la certification ISO 27001.

NumSpot est certifiée conforme au Code de conduite des Fournisseurs d’Infrastructures Cloud relatifs à la

Protection des Données (ou code CISPE) approuvé par la CNIL, conformément aux articles 32 et 42 du RGPD.

Le Client reste seul responsable de la sécurité des systèmes qu’il met en place dans le cadre de l’utilisation des Services (pare-feu, mises à jour, gestion des droits d’accès...). Dans le cadre des présentes, NumSpot met à la disposition du Client les informations nécessaires (notamment la Déclaration d’Applicabilité) pour que ce dernier puisse évaluer la conformité des Services NumSpot à ses exigences de sécurité.

Le Sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes dans les conditions décrites aux présentes:

· les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

· les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles- ci dans des délais appropriés en cas d'incident physique ou technique ;

· une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

10. Transfert des Données Personnelles dans des pays tiers

Les Services NumSpot donnent au Client la possibilité de stocker et traiter ses Données exclusivement à l’intérieur de la région EEE. NumSpot ne transférera en aucun cas les Données personnelles du Client hors de leur Région, sauf instruction spécifique du Client.

Avant tout transfert de ses Données Personnelles, le Client, s’engage à vérifier que (i) les Spécifications des Services NumSpot applicables aux Régions où il entend transférer ses Données et (ii) la Législation sur les Données Personnelles applicable dans cette Région, sont conformes à ses besoins et contraintes, notamment en termes de sécurité.

11. Notification des Violations de Données Personnelles

NumSpot met en œuvre une politique de gestion des incidents de sécurité prévoyant les procédures d’identification et de réponse aux incidents de sécurité dont NumSpot a connaissance. Si NumSpot a connaissance d’un accès, une destruction, une perte, une divulgation ou une altération non autorisée ou accidentelle, des Données au sein de son Infrastructure, et si cela engendre des risques pour les droits et libertés des Personnes Concernées, NumSpot le notifie au Client dans les plus brefs délais après en avoir pris connaissance (et au maximum dans les QUARANTE-HUIT (48) HEURES après en avoir pris connaissance), au moyen d’un courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au Client si nécessaire de notifier cette Violation de Données Personnelles à l’autorité de contrôle compétente. La notification décrira notamment la nature de l’atteinte, ses conséquences, les mesures prises par NumSpot en réponse à cet incident et elle indiquera un point de contact chez NumSpot. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

12. Conservation des Données Personnelles

Au terme des Services, et à défaut d’instruction contraire du Client, NumSpot s’engage à supprimer toutes les Données du Client. Une fois détruites, NumSpot pourra justifier par écrit de la destruction à la demande du Client. Les Données ne pourront plus être récupérées par la suite.

13. Délégué à la protection des données

Le Délégué désigné par NumSpot est joignable à l’adresse suivante : xxx@xxxxxxx.xxx

14. Registre des catégories d’activités de traitement

NumSpot déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client.

15. Documentation et audit

NumSpot met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits dans les modalités de l'article 17 « Audits », y compris des inspections, par le Client ou un autre auditeur qu’il aura mandaté.

Le Client s’engage à documenter par écrit toute instruction concernant le traitement de Données Personnelles par NumSpot. Il veille au préalable et pendant toute la durée du traitement au respect des obligations prévues par la réglementation applicable de la part de NumSpot. Il supervise le traitement, y compris pour réaliser des audits et inspections auprès de NumSpot.

B. Obligations du responsable de traitement

Le Responsable de traitement s’engage à :

- fournir au Sous-traitant les données concernées,

- documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant,

- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la réglementation applicable aux Données Personnelles de la part du Sous-traitant,

- superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.

VI. Supervision

Les Parties conviennent que l'autorité de contrôle chargée de veiller à ce qu'elles respectent la réglementation en matière de Données Personnelles en ce qui concerne l'exécution du présent accord est la Commission Nationale Informatique et Libertés (CNIL).

Annexe 3 - Engagements de Qualité de Services (SLA)

Les SLAs ne sont parfois applicables qu’à condition que le Client déploie ses Systèmes sur toutes les Zones de disponibilité qui existent dans la Région. Dans le cas où, alors que c’est possible, le Client décide de ne pas déployer dans toutes les Zones de disponibilité de la Région, il ne pourra pas demander l’application du SLA. Ces SLAs sont marqués d’une étoile (*).

Cette limitation ne concerne ni les APIs fournies par NumSpot, ni l’Infrastructure mise en place et infogérée par NumSpot et donc de la responsabilité de NumSpot. Pour ces dernières, les SLAs s’appliquent en général quel que soit le type de déploiement choisi par le Client.

Ces garanties permettent à NumSpot de s’engager sur les SLA suivants sur une base 24h/24 et 7j/7 :

SLA1 – Domaine de disponibilité

▪ La Disponibilité individuelle d’une Région est de 99,9% par an,

▪ La Disponibilité individuelle d’une Zone de disponibilité est de 99,7% par an.

SLA2 – « Service de fourniture réseau intra Cloud »

Le réseau intra Cloud est sécurisé au même titre que le réseau en provenance d’Internet via les groupes de sécurité. Le Client est averti que s’il décide de passer outre les groupes de sécurité via l’API de commande pour ses ressources internes, la configuration des groupes de sécurité ne SERA PAS appliquée.

La latence dans le réseau interne dépend de nombreux paramètres, notamment de la proximité des Zones de disponibilité. La redondance d’une Région est un équilibre entre l’écartement géographique des Zones de disponibilité et la latence maximale supportable par le Service.

▪ Disponibilité du réseau interne : 99,99 % par an,

▪ Latence maximale inter ressource (hors Stockage Objet) : 10 ms,

SLA3 – « Service de fourniture de Services Internet (DNS, NTP) et de Service métadonnées du Cloud Computing »

Le Client est informé par NumSpot que ses Systèmes sont protégés contre leur utilisation intensive pouvant mener au déni de service. Toute activation automatique de contre mesure due à une utilisation abusive du Client et entraînant une indisponibilité de Service pour ce dernier ne pourra être comptabilisée comme telle.

▪ Disponibilité des Services DNS, NTP, DHCP : 99,8% par mois

▪ Disponibilité des Services métadonnées : 99,8% par mois SLA4 – « Service de fourniture réseau sécurisé vers Internet »

NumSpot est à l’état de l’art en ce qui concerne ses connexions via Internet. Il utilise notamment plusieurs fournisseurs d’accès et le protocole BGP4 pour assurer une redondance. Ce protocole peut entraîner des changements de routes intempestifs indépendants de la volonté de NumSpot mais qui en général permettent de garantir une disponibilité de l’accès.

En cas d’incident, les premières 2 minutes ne sont jamais prises en compte, car le temps de convergence du

protocole BGP4 est de 90 secondes. Le calcul de disponibilité enlèvera donc 2 minutes par incident.

▪ Disponibilité de l’accès Internet : 99,999%* par an

En cas de cyber attaque, notamment en cas d’attaque en déni de service distribué (DDoS), NumSpot pourra modifier sa configuration de routage Internet pour mitiger au maximum cette attaque et protéger son Infrastructure. Si c’est une IP du Client qui est visée par l’attaque, NumSpot pourra utiliser la communauté BGP de type « blackhole » pour interdire en amont de ses fournisseurs tout trafic vers l’IP attaquée afin de protéger les autres ressources du Client, mais aussi des autres clients de NumSpot ainsi que son Infrastructure.

NumSpot incite le Client à faire de même, notamment en utilisant des logiciels WAF du marché, mais aussi via la configuration des groupes de sécurité via l’API de commande. NumSpot par défaut filtre tout trafic entrant vers les IPs publiques du Client et c’est le Client qui ouvre les flux dont il a besoin. NumSpot insiste pour que le Client ouvre ses flux a minima et notamment n’ouvre pas les flux d’administration SSH (port TCP 22) et RDP (port TCP 3389) à l’ensemble de l’Internet (subnet 0.0.0.0/0), ainsi que les protocoles internes comme SMB (port TCP/UDP 445) ou NFS (port TCP/UDP 2049).

▪ Disponibilité des Firewalls Logiques en charge des groupes de sécurité : 99,8%* par mois,

▪ Disponibilité du Service d’API de commande : 99,9% par mois.

SLA5 – « Service de répartition de charge à la demande »

▪ Disponibilité des load balancers virtuels : 99,78% par mois,

▪ Disponibilité du Service d’API de commande : 99,9% par mois.

SLA6 – : « Service de Stockage Objet »

▪ La Durabilité du Stockage d’un Objet sur une Région considérée est garantie à 99,9999999999% par an,

▪ La Disponibilité de l’API fournie par NumSpot et permettant de publier et manipuler les objets du Client par ce dernier est de 99,97% par an,

▪ La Disponibilité des APIs fournies par NumSpot et permettant aux Utilisateurs d’accéder aux objets stockés est

de 99,97% par an pour les objets déployés sur une Région.

À titre indicatif il est précisé qu’une latence vers ou depuis le Stockage Objet inférieure à 200 ms est un critère de Disponibilité du Service de Stockage Objets.

Concernant le Service Stockage Objet, la Durabilité s’entend sous réserve d’une utilisation dans l’état de l’art des

Services et en dehors de toute altération de données volontaire ou non ayant pour origine une action du Client.

Le Service Stockage Objet, comme son nom l’indique, ne doit pas être utilisé en mode bloc (par exemple pour une base de données en activité). L’utilisation d’un Stockage Objet en mode bloc via des moyens techniques de contournement (par exemple FUSE sous Linux), n’est pas une utilisation dans l’état de l’art du Stockage Objet et tout incident lié à cette utilisation ne sera pas couverte par le présent SLA.

SLA7 – : « Service de Stockage Persistant »

Le stockage persistant est un Service souscrit par le Client dans son interface de gestion ou API.

▪ La disponibilité d’un volume est garantie à 99,7% par mois. Par défaut un volume n’est disponible que sur sa Zone de disponibilité d’origine,

▪ La disponibilité d’un Snapshot est de 99,7% par mois. Un Snapshot est disponible sur toute la Région,

▪ La Durabilité d’un Snapshot est de 99,9999999999%. Cette Durabilité n’est acquise que 24h après sa création.

▪ Pour les Machines Virtuelles possédant des disques de stockage persistant à IOPS garantie attachés, NumSpot s’engage à fournir le nombre d’IOPS souscrits dans la limite technique par disque et par Machines Virtuelles, pour des blocs de 4 ko, au moins 90% du temps sur un mois.

La Durabilité d’un volume n’est pas garantie, car c’est un stockage en mode bloc actif qui peut être impacté par tout problème d’arrêt de service impromptu. Par exemple, le crash d’un élément physique de l’Infrastructure de NumSpot peut entraîner l’arrêt d’une ressource type Machines Virtuelles et la corruption d’un volume de Stockage Persistant qui a été brutalement arrêté dans un état non cohérent. De même, une commande « terminate » ou « force-stop », peut causer l’arrêt brutal de la ressource Machine Virtuelle et donc corrompre les ressources volumes attachées.

La responsabilité de NumSpot ne peut jamais être engagée sur les problèmes de cohérence concernant les volumes ; c’est au Client de s’assurer qu’il a bien réalisé toutes les sauvegardes nécessaires afin de pérenniser ses données et qu’il a mis en place des architectures à l’état de l’art pour pouvoir retrouver un état cohérent de ses volumes.

SLA8 – « Service de Stockage Non Persistant »

Le Service de stockage non persistant est un espace de stockage utilisé par la Machine Virtuelle, dont les données seront effacées au redémarrage de la machine.

Le Service de Stockage Non Persistant ne dispose d’absolument AUCUNE garantie. NumSpot informe le Client que le Service peut s’arrêter ou dysfonctionner à tout moment, et que c’est au Client de redémarrer sa ressource Machine Virtuelle dans le cas où le défaut de ce Service a un impact sur sa disponibilité.

Ce Service ne doit être utilisé que pour des cas précis comme emplacement de stockage temporaire et non critique et surtout pas pour des données comme celles de production à conserver qui doivent être stockées sur d’autres types de stockage plus durable.

SLA9 – « Service de fourniture de Machine Virtuelle à la carte »

▪ La Disponibilité individuelle d’une ressource matérielle (bare-metal) de l’Infrastructure est de 99,7% par mois,

▪ La Disponibilité d’une Machine Virtuelle est de 99,7% par mois,

▪ La Disponibilité du Service d’API de commande est de 99,9% par mois.

Dans le cas où une ressource matériel de l’Infrastructure de NumSpot provoque l’arrêt d’une Machine Virtuelle du Client, par exemple l’arrêt d’un serveur physique de NumSpot provoquant l’arrêt d’une Machine Virtuelle du Client, par défaut la Machine Virtuelle du Client est dans un état « stoppé » afin d’éviter que son redémarrage ne provoque des dégâts supplémentaires (notamment perte de données, corruption). Il est de la responsabilité du Client de superviser ses Machines Virtuelles et de les redémarrer si besoin. Le temps nécessaire au Client pour réaliser cela ne rentre pas dans le calcul de l’indisponibilité d’une Machine Virtuelle.

Le temps à comptabiliser dans l’indisponibilité d’une ressource est le temps pendant lequel, suite à l’arrêt de la ressource, le Client est dans l’impossibilité de la redémarrer.

NumSpot informe le Client que toute utilisation anormale de son Infrastructure et notamment en cas de surcharge de ses APIs de commande (hammering), des contre-mesures de sécurité pourront s’activer automatiquement et bloquer l’accès aux APIs de commande ou à certains Services NumSpot. Dans ce cas, il ne s’agit pas d’une indisponibilité, mais d’une procédure de sauvegarde de l’Infrastructure de NumSpot, et le Client ne pourra comptabiliser cela en indisponibilité.

Enfin NumSpot informe le Client que les requêtes parfaitement identiques (duplicate) vers ses API sont limitées à une par seconde (Throttling). Le fait que le Client verrait des requêtes identiques présentées à l’API à une fréquence supérieure et refusées à ce titre, ne saurait être comptabilisé en indisponibilité.

SLA10 – Support

Chaque besoin ou incident doit faire l’objet de la création d’un ticket auprès du support NumSpot. L’ouverture de ce ticket avec l’ensemble des informations requises est le préalable nécessaire et le point de départ pour évaluer le respect des engagements de NumSpot.

Le calcul du délai de la Garantie de Temps d’Intervention (GTI) est la différence entre l’horaire d’ouverture du

ticket par le Client et la première réponse du support NumSpot.

Le calcul du délai de la Garantie de Temps de Rétablissement (GTR) est mesuré entre l’ouverture du ticket avec l’ensemble des informations obligatoires à fournir par le Client et la résolution de l’incident par le support NumSpot. Le temps de réponse du Client pour répondre à une question du support NumSpot est déduit du calcul du délai de la Garantie de Temps de Rétablissement (GTR).

Un incident qui n’est pas constaté par l’équipe support NumSpot ne peut être mesuré que si le Client apporte les éléments permettant de tracer une coupure ou une dégradation de service.

Les Garanties de Temps d’Intervention (GTI) et les Garanties de Temps de Rétablissement (GTR) sont détaillées ci- dessous par sévérité d’incident :

GTI	GTR	Sévérité Incident	Description
15 minutes	2 heures	1 (Majeure)	Indisponibilité totale et durable d'un service : - Stockage Objet - FCU - API - Réseau - EIM Hors maintenance programmée.
30 minutes	4 heures	2 (Élevée)	Dégradation d’un service ou de la performance d'un service : - Stockage Objet - FCU - API - Réseau - EIM - Portail Client - Outils pour lesquels une solution de contournement existe (exemple : Cockpit)
1 heure	48 heures ouvrées (soit 6 jours)	3 (Mineure)	Incident isolé, bug ou régression, demande d'analyse sur un incident Client.

En cas de demande qui ne relève pas d’un incident, le support NumSpot traitera le ticket dans les meilleurs délais

compatibles avec les horaires d’ouverture du support, à savoir de 8h à 20h du lundi au vendredi.

Pénalités associées aux SLA

Les pénalités sont calculées suivant la formule suivante :

Ps= (Sg – Sc)*10*CAcm

Ps : Pénalité du Service considéré

Sc : Disponibilité constatée du Service considéré sur la période de calcul

Sg : Disponibilité promise par SLA du Service considéré sur la période de calcul

CAcm : Chiffre d’Affaires mensuel moyen généré par le Client sur un an glissant sur les Compte Technique du Client.

S’il y a plusieurs infractions des SLAs, les Pénalités se cumulent. La Pénalité totale ne pourra jamais excéder la valeur CAcm.

Exemple de calcul :

Soit un Client utilisant 3 Services NumSpot. Le Service de Stockage Objet, le Service de fourniture de Machine Virtuelle à la Carte et le Service de répartition de charge à la demande. On définit :

S1 : La Disponibilité des APIs fournies par NumSpot et permettant à des utilisateurs d’accéder aux objets stockés S2 : La Disponibilité du Service d’API de commande des Machines Virtuelles à la Carte

S3 : La Disponibilité des load-balancers virtuels Prenons par exemple :

▪ S1c = 97,9% alors que S1g = 99,99%

▪ S2c = 99,95% alors que S2g = 99,9%

▪ S3c = 98,5% alors que S3g = 99,8%

S2c > S2g, donc le Service est bien rendu dans le cadre du SLA. Seuls S1c & S3c sont inférieurs aux SLAs.

Soit une facturation mensuelle moyenne calculée sur l’année glissante de 10.000 euros HT. Le crédit calculé sera

donc de :

P = (99,99%-97,9%)*10*10000+(99,8%-98,5%)*10*10000

P = 3390 Euros.

Annexe 4 - Mandat de prélèvement SEPA

NOM ET ADRESSE DU DEBITEUR
Raison sociale (*)
Adresse (*)
Complément adresse
Code postal (*)
Ville (*)
Pays (*)

(*) informations obligatoires

DESIGNATION DE L'ETABLISSEMENT TENEUR DU COMPTE À DÉBITER (Nom et adresse de votre banque)
Désignation établissement (*)
Adresse (*)
Complément adresse
Code postal (*)
Ville (*)
Pays (*)

CODE INTERNATIONAL BANQUE DÉBITEUR (BIC) – Obligatoire

(*) informations obligatoires

COMPTE A DEBITER (identification internationale de compte bancaire - IBAN) – Obligatoire

NOM ET ADRESSE DU CONTRACTANT (si différent du débiteur)
Raison sociale (*)
Adresse (*)
Complément adresse
Code postal (*)
Ville (*)
Pays (*)

(*) informations obligatoires

Identifiant Créancier SEPA (ICS)

FR15ZZZ588627

Type de paiement : récurrent

Référence Unique Mandat (RUM) – (réservée exclusivement au créancier)

La présente demande est valable jusqu'à annulation de ma part à notifier en temps voulu au créancier.

Par le présent mandat, NUMSPOT est autorisé à donner instruction pour débiter le compte susmentionné de toutes les sommes dont vous ou le contractant seriez débiteur à l’égard de NUMSPOT, au titre du ou des comptes de facturation désignés ci-dessus, quelle qu’en soit la date et sous réserve que ceux-ci n’aient pas fait l’objet d’une autorisation de prélèvement ou d’un mandat de prélèvement SEPA sur un autre compte bancaire, dans le respect de la réglementation applicable. Vous bénéficiez d’un droit à remboursement par votre banque selon les conditions décrites dans la convention que vous avez passée avec elle. Toute demande de remboursement doit être présentée dans les 8 semaines suivant la date de débit de votre compte.

Si vous souhaitez mettre fin à votre accord, vous devez révoquer le « mandat de prélèvement SEPA » auprès du

créancier, avec un préavis d’un mois. Il vous est recommandé d’en informer votre banque.

Le :

Nom du signataire :

Fonction du signataire :

Signature et cachet du débiteur :

Vos droits concernant le prélèvement SEPA sont expliqués dans un document que vous pouvez obtenir auprès de votre banque. Les informations contenues dans le présent mandat, qui doit être complété, sont destinées à n’être utilisées par le créancier que pour la gestion de sa relation avec son client. Elles pourront donner lieu à l’exercice, par ce dernier, de ses droits d’accès, de rectification et d’opposition tels que prévus par la « Loi Informatique et Libertés

» du 6 janvier 1978 modifiée.

Document Metadata

Table of Contents

Conditions générales de vente NumSpot

Document Metadata