Conditions Générales de Vente et d’Utilisation 3DS OUTSCALE 2019-07‌

Conditions Générales de Vente et d’Utilisation 3DS OUTSCALE 2019-07‌

Préambule

Présentation de 3DS OUTSCALE

3DS OUTSCALE est un opérateur de cloud computing ayant notamment pour activité l’édition de son propre système d’exploitation de cloud (TINA OS), la fourniture d’Infrastructure as a Service (IaaS) ainsi que la prestation de services professionnels associés.

Les services 3DS OUTSCALE sont accessibles dans le monde entier en souscrivant les offres proposées par les entités liées à 3DS OUTSCALE implantées dans différents pays. Les présentes CGV ne concernent que les offres émanant de la société OUTSCALE SAS (au sens de l’article

« Définitions »).

3DS OUTSCALE et les données de ses CLIENTS

3DS OUTSCALE demande à ses CLIENTS de choisir la zone géographique dans laquelle leurs données seront stockées et traitées – les données du CLIENT seront traitées conformément aux prescriptions du Code CISPE® uniquement si le CLIENT choisit de les localiser dans l’Espace Économique Européen – et 3DS OUTSCALE s’interdit de transférer leurs données dans une autre zone géographique.

Néanmoins, 3DS OUTSCALE met à la disposition de ses CLIENTS des outils et cadres internationalement reconnus pour transférer eux-mêmes leurs données.

3DS OUTSCALE attache une grande importance à la protection et la confidentialité des données de ses CLIENTS, c’est pourquoi (i) elle met en place, quand c’est techniquement possible, des procédures de chiffrement par défaut à tous les niveaux de son infrastructure, (ii) elle s’interdit d’accéder directement ou indirectement aux données de ses CLIENTS, (iii) elle conseille à ses CLIENTS de chiffrer leurs données (sans que 3DS OUTSCALE connaisse la clé de chiffrement), et (iv) elle s’interdit d’effectuer des opérations telles que datamining, profiling ou marketing direct sur ces données.

S’agissant des données personnelles, 3DS OUTSCALE veille à se conformer à la législation en vigueur en France et dans les pays où elle est implantée, et ce dans la mesure où elle est concernée, puisqu’elle n’a pas accès aux données de ses CLIENTS, quelle que soit leur nature.

Enfin, 3DS OUTSCALE est adhérente à l’association CISPE® – Cloud Infrastructure Services Providers (xxxxx://xxxxx.xxxxx/) – et les présentes Conditions Générales de Vente sont conçues en adéquation avec les prescriptions du Code de Conduite du CISPE® et s’appliquent sur l’ensemble des Services dans le périmètre des présentes CGV.

3DS OUTSCALE dispose d’un système de management de la sécurité de l’information conforme aux exigences de la norme ISO 27001:2013 pour les activités suivantes : IaaS, SaaS, Vente, Marketing et Communications et Développement de logiciels, pour la France. Ces activités sont auditées à intervalles réguliers afin de garantir la conformité de nos pratiques avec les exigences des normes de sécurité et de qualité en vigueur chez 3DS OUTSCALE.

Les présentes CGV

Elles comprennent les conditions essentielles qui s’appliquent aux relations contractuelles entre 3DS OUTSCALE et ses cocontractants, à moins que la conclusion d’un contrat dérogatoire ne s’impose en raison de la spécificité de l’opération projetée et/ou soit sollicitée par le cocontractant et acceptée par 3DS OUTSCALE.

Les CGV sont complétées de Conditions Particulières.

En tout état de cause, 3DS OUTSCALE fait son affaire de l’infrastructure qui supporte les ressources (machines virtuelles, stockage, etc.) qu’elle met à disposition du CLIENT, mais 3DS OUTSCALE n’est aucunement responsable, ni juridiquement ni techniquement, de l’utilisation qu’en fait le CLIENT.

1 – Définitions‌

Pour l’interprétation des présentes CGV, les termes et expressions ci-dessous devront être interprétés par rapport aux définitions du présent article – lesquelles définitions ont valeur contractuelle – lorsque lesdits termes commencent par une majuscule.

API : Désigne les interfaces de programmation d’applications, quels que soient leurs types ou leurs versions.

Bon de Commande : Désigne le document, pouvant être dématérialisé, signé ou validé lorsqu’il s’agit d’un formulaire dématérialisé, par le CLIENT aux termes duquel ce dernier accepte une proposition de service/un devis ou commande un produit ; il décrit les Conditions Particulières applicables s’il y a lieu. Aucune obligation d’aucune sorte ne saurait peser sur 3DS OUTSCALE pour la réalisation de Services Professionnels ou la fourniture de Prestations sur devis sans un Bon de Commande formalisé signé par le CLIENT et ensuite accepté par 3DS OUTSCALE.

Clés d’Accès au Service : Il s’agit d’un ensemble d’identifiants (login, mot de passe, clé d’API, etc.) permettant au CLIENT de s’authentifier avant de pouvoir consommer et piloter des Prestations. Les Clés d’Accès sont dédiées à un Compte précis et le CLIENT s’engage à ne pas les partager. On parle également d’Access Key / Secret Key (ou AK/SK).

CLIENT : Toute entité ayant passé un Contrat – conformément à l’article « Formation du contrat / Intégralité du Contrat / Hiérarchie » – avec 3DS OUTSCALE. Les offres de 3DS OUTSCALE ne sont pas conçues pour des consommateurs, lesquels n’y sont pas éligibles, mais pour des professionnels. Le CLIENT, quand il souscrit aux présentes CGV, doit être conseillé par un professionnel de l’informatique et des réseaux s’il n’en est pas un lui-même.

Clients Indirects : Toutes les entités qui achètent des Prestations 3DS OUTSCALE via un Revendeur. Les Clients Indirects doivent accepter les présentes CGV avant de pouvoir consommer des Prestations. Le Revendeur est en charge de l’acceptation des présentes CGV par le Client Indirect.

Cloud Computing (« Informatique dans les nuages ») : Mise à disposition du CLIENT de ressources mémoires, calculs, stockage et réseau fournies par des serveurs en réseaux. Lesdits serveurs, ainsi que l’Infrastructure sous-jacente, sont opérés et maintenus par 3DS OUTSCALE de manière transparente pour le CLIENT.

Code CISPE® : le Code de conduite du CISPE® (Cloud Infrastructure Service Providers) accessible sur son site (xxxxx://xxxxx.xxxxx/). Le Contrat est conçu en adéquation avec les prescriptions de ce Code.

Commande : Interface de programmation mise à disposition du CLIENT par 3DS OUTSCALE, permettant au CLIENT de piloter et de configurer les Prestations (automatisation des créations,

suppressions, démarrages et arrêts des Machines Virtuelles, Extension temporaire du Périmètre des Prestations en cas de détection d’un manque de ressources par l’Infrastructure, etc.)

Compte CLIENT : Un Compte permet au CLIENT, une fois qu’il a accepté le Contrat associé à ce Compte (par l’acceptation des présentes CGV et de Conditions Particulières), de consommer des Prestations dans une Région déterminée et/ou d’autres régions de son choix. Un même CLIENT peut posséder plusieurs Comptes et, en ce cas, l’ouverture d’un nouveau Compte donne lieu à un nouveau Contrat. 3DS OUTSCALE n’ouvre un Compte au CLIENT qu’après fourniture par ce dernier (i) de l’adresse email qui servira d’identifiant à ce Compte (c’est là que 3DS OUTSCALE adressera les notifications relatives au Contrat associé à ce Compte), et (ii) de ses données d’identification (nom, numéro de TVA intracommunautaire ou équivalent dans le pays du CLIENT, adresse, etc.), enfin (iii) de ses informations bancaires exactes et à jour nécessaires à la facturation de ses consommations.

Conditions Générales de Vente et d’Utilisation (ou CGV) : Le présent document y compris son préambule, ses définitions et tous les documents qu’il incorpore par référence, tels que la Déclaration d’Applicabilité et les documents de Spécification des Prestations.

Conditions Particulières : Document contractuel (sous forme de Bon de Commande, de conditions affichées sur le site Web ou de Contrat dérogatoire) complétant les présentes CGV et précisant l’offre (spécifications des Machines Virtuelles, Services de Stockage, durée des Prestations pour celles qui ne sont pas On Demand, modalités d’exécution particulières, etc.) souscrit par le CLIENT par tout moyen, y compris en ligne et notamment via son API de gestion. Elles constituent un tout indissociable avec les présentes CGV.

Contrat : Le contrat passé entre 3DS OUTSCALE et son CLIENT pour encadrer les Prestations liées à un Compte CLIENT. Il est composé des présentes CGV et complété par des Conditions Particulières, lesquelles doivent se référer expressément aux présentes « CGV 3DS OUTSCALE 2019-07 », à l’exception de tout autre document. Le Contrat se forme comme il est dit à l’article « Formation du contrat / Intégralité du Contrat / Hiérarchie ».

Contrat Revendeur : Contrat entre 3DS OUTSCALE et un Revendeur qui définit (i) les conditions financières particulières sur les prix des Prestations qu’un Revendeur achète à 3DS OUTSCALE pour les revendre à des Clients Indirects, et (ii) les droits et obligations du Revendeur (en termes de formation de son personnel, de certification, etc.) en fonction du programme Revendeur auquel il est affilié. Les Contrats Revendeurs s’intègrent automatiquement avec les présentes CGV avec lesquelles ils forment un tout indissociable. Les Contrats Revendeurs ne sont jamais exclusifs.

Déclaration d’Applicabilité du système de management de sécurité des systèmes d’information 3DS OUTSCALE (Déclaration d’Applicabilité) : Document décrivant toutes les mesures de sécurité applicables chez 3DS OUTSCALE, tant pour ses Infrastructures que ses Prestations, elle a été prise conformément à la norme ISO 27001. Cette Déclaration permet notamment au CLIENT, qui y a eu accès, de connaître les obligations qui lui incombent, et celles qui incombent à 3DS OUTSCALE, en vue d’assurer la sécurité des Prestations et des Données. Cette déclaration est un des éléments des Spécifications.

Données du CLIENT (ou Données) : Toutes les Données, quelle que soit leur nature, y compris les Données Personnelles, que le CLIENT stocke et Traite sur une Infrastructure mise à disposition par 3DS OUTSCALE. De convention expresse, 3DS OUTSCALE (i) s’interdit d’accéder aux Données du CLIENT, et (ii) conseille au CLIENT de les chiffrer sans lui remettre la clé de chiffrement ; étant précisé, enfin (iii) qu’3DS OUTSCALE ne peut pas distinguer parmi les Données du CLIENT celles qui sont des Données Personnelles.

Données Personnelles : Celles des Données du CLIENT qui répondent à la définition de « données à caractère personnel » au sens de la Législation sur les Données Personnelles. Pour toutes questions relatives aux Données Personnelles (à l’exception de celles liées aux Systèmes du CLIENT qui sont sous sa seule responsabilité) vous pouvez contacter xxxxxxx-xxxxxxxxxxxx@xxxxxxxx.xxx.

Durabilité : Probabilité de non-effacement d’une donnée de manière inopinée (l’effacement pouvant être causé par des phénomènes physiques comme le « bit flip », le dysfonctionnement d’une technologie particulière, le vieillissement des supports de stockage, etc.), par exemple : une durabilité de 99,9999999 % par an signifie que 0,0000001 % au plus des données peut être altérés dans l’année.

EEE/EEA (Espace Économique Européen) : Union économique regroupant les membres de l’Union européenne et d’autres États européens conformément aux traités qui l’ont instituée et la régissent.

Extension du Périmètre des Prestations (ou Extension) : Lorsque l’offre souscrite le permet, le fait pour le CLIENT d’acheter des ressources supplémentaires, à 3DS OUTSCALE, pour une période déterminée, par exemple, pour faire face à de nouveaux besoins.

Infrastructure 3DS OUTSCALE : Tous les équipements (serveurs, routeurs, etc.) et logiciels (TINA OS en particulier) opérés par 3DS OUTSCALE nécessaires à la fourniture des Prestations, ainsi qu’à toutes les autres activités de 3DS OUTSCALE.

Législation sur les Données Personnelles : S’entend (i) pour ce qui concerne la France comme la loi du 6 janvier 1978 modifiée « relative à l’informatique aux fichiers et aux libertés » et le RGPD entré en application le 25 mai 2018, et (ii) pour ce qui concerne les autres pays, les réglementations ayant le même objet applicable sur leur territoire.

Machine(s) Virtuelle(s) ou Instance(s) : Serveurs virtuels qui mettent en œuvre les Systèmes du CLIENT et sont situés au sein de l’Infrastructure 3DS OUTSCALE. Ceux-ci se composent : (i) de ressources mémoire (RAM et disque dur et/ou autre mode de stockage), (ii) de ressources de calculs,

(iii) de stockage persistant avec ou sans garantie de performance, (iv) d’un système d’exploitation (Windows®, distribution LINUX ou autre), (v) d’applications tierces éventuellement soumises à licences,

(vi) de système de sécurité type, (vii) d’une allocation de bande passante. L’ensemble des caractéristiques (i) à (vii) ci-dessus est défini par le CLIENT, à partir des options proposées par 3DS OUTSCALE, et s’intègre dans les Conditions Particulières. 3DS OUTSCALE ne connaissant pas le type de Système que le CLIENT envisage de mettre en œuvre sur les Machines Virtuelles ne saurait le conseiller dans ses choix.

OMI (OUTSCALE Machine Image) : Image prête à l’emploi, disponible sur les plateformes 3DS OUTSCALE permettant de disposer de Machine Virtuelle standardisée. On peut aussi parler d’Image Machine.

OMI Officielle : OMI maintenue par 3DS OUTSCALE et mise à disposition de ses clients. À compter de la première utilisation d’une OMI Officielle par le CLIENT au lancement d’une Machine Virtuelle, la responsabilité de la mise à jour de tous les composants de cette OMI est à la charge exclusive du CLIENT. La responsabilité de 3DS OUTSCALE ne pourra être recherchée pour les conséquences d’un défaut d’un des composants de cette OMI affectant le fonctionnement de cette Machine Virtuelle ou les données qu’elle contient à raison de failles ou bugs mis en évidence postérieurement à la première utilisation.

3DS OUTSCALE : La société OUTSCALE SAS, immatriculée au RCS de Nanterre sous le numéro B 527.594.493, au capital de 1 849 930 euros, ayant son siège 0 xxx Xxxxxx, 000 Xxx Xxxxxxx xx xx Xxxxxxx, 00000 Xxxxx-Xxxxx - Xxxxxx.

On Demand : Se dit des Prestations fournies dans le cadre du Contrat dès lors (i) que le CLIENT ne paie que les ressources qu’il consomme, et (ii) qu’il n’est soumis à aucun abonnement ou engagement de durée ou de consommation minimum, et (iii) qu’il peut donc cesser d’utiliser les Prestations à sa convenance et sans indemnités, en particulier si elles ne conviennent plus à ses besoins. 3DS OUTSCALE ne peut, dans le cadre d’une Prestation On Demand, garantir à tout moment la disponibilité de ressources comme expliqué à l’article « Obligations générales de 3DS OUTSCALE ».

POP : Point de Présence Opérateur de Cloud. Il s’agit d’un lieu, en général dans un Datacenter, où 3DS OUTSCALE opère un ou plusieurs de ses Services.

Prestations : La mise à disposition par 3DS OUTSCALE au CLIENT de ressources (Machines Virtuelles, Service de Stockage Objet, etc.), au sein de l’Infrastructure 3DS OUTSCALE, ainsi que, le cas échéant, de services connexes.

Région : Désigne une zone géographique située dans un Territoire regroupant une ou plusieurs Zone(s) de Disponibilité des services proposés.

Responsable du Traitement des Données Personnelles / Sous-Traitant : Ont le sens que leur donne la Législation sur les Données Personnelles.

Responsable(s) CLIENT : La/les personne(s) désignée(s) nominativement par le CLIENT pour intervenir sur la/les Machine(s) Virtuelle(s) du CLIENT, par exemple, pour installer, paramétrer, administrer et maintenir les logiciels et applications sur la/les Machine(s) Virtuelle(s) du CLIENT. Celui- ci est aussi en charge de la gestion et/ou du contrôle de l’Extension du Périmètre des Prestations, ainsi que de la gestion du Compte CLIENT. Les notifications de 3DS OUTSCALE au Responsable CLIENT sont adressées à l’adresse email associée au Compte CLIENT qui a été fournie par le CLIENT lors de l’ouverture de son Compte.

Revendeur : Toute entité qui a conclu un Contrat Revendeur avec 3DS OUTSCALE.

Réversibilité : Prestation de service payante dont l’objet est d’accompagner la migration de la production du CLIENT sur l’Infrastructure 3DS OUTSCALE vers une plateforme isofonctionnelle et compatible, mais qui n’est pas de la propriété de 3DS OUTSCALE.

RGPD : Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Services « Bêtas » : Services fournis par 3DS OUTSCALE dans une version d’essai avant leur commercialisation à grande échelle. Les engagements, les garanties et la responsabilité de 3DS OUTSCALE lorsqu’elle délivre un Service Bêta sont limités conformément à l’article « Limites et contraintes liées aux Services Bêtas ». Un Service est dit « Bêta » lorsque 3DS OUTSCALE le mentionne dans sa documentation. Les Services Bêtas, sauf dérogation dans leurs éventuelles Conditions Particulières, ne donnent pas lieu à facturation.

Service de Stockage Objet : Environnement de stockage permettant d’envoyer et de recevoir des Données depuis une plateforme informatique à travers Internet, avec une copie des Données sur au moins trois équipements physiques distincts afin de garantir la Durabilité des données en cas de défaillance simultanée d’un ou deux des équipements physiques utilisés. Des options complémentaires (archivage, double site, etc.) peuvent compléter cette offre.

Services Professionnels (Professional Services) : Toute Prestation fournie par 3DS OUTSCALE sur une demande spécifique du CLIENT, notamment dans le but de permettre au CLIENT d’acquérir

des compétences propres à lui permettre notamment de migrer ou d’utiliser son système d’information vers le Cloud Computing. Ces services ne sont pas soumis aux SLA et les engagements de responsabilité de 3DS OUTSCALE sont limités. Ces Services font l’objet de contrats spécifiques.

Service Level Agreement SLA / Qualité de Service : Désigne les engagements de qualité de service de 3DS OUTSCALE dans le cadre des Prestations, ils sont définis en Annexe A des présentes CGV.

Snapshot : Désigne les « photographies » d’un Stockage Persistant réalisées à l’initiative et sous la seule responsabilité du CLIENT. Le CLIENT (i) ne doit pas prendre de Snapshots pendant les périodes de maintenance, et (ii) doit suivre les préconisations techniques de 3DS OUTSCALE, récapitulées sur son Wiki (xxxx.xxxxxxxx.xxx), en matière de Snapshots, et en particulier veiller à la cohérence de son volume avant de prendre un Snapshot.

Souveraineté : Désigne la politique de gestion à la fois des Données, mais aussi des personnels et de l’ensemble de l’Infrastructure de 3DS OUTSCALE. La Souveraineté s’applique à un Territoire. 3DS OUTSCALE garantit à ses clients qu’en utilisant une ou plusieurs Régions sur un même Territoire, aucune Donnée ne sortira de ce Territoire à l’initiative de 3DS OUTSCALE. De plus les personnels de 3DS OUTSCALE sur un Territoire seront liés contractuellement à ce Territoire et nulle personne d’un autre Territoire ne pourra accéder aux équipements d’un Territoire sans l’autorisation d’un personnel dudit Territoire.

Spécifications : Désigne les caractéristiques des différentes Prestations proposées dans le cadre des présentes CGV, à savoir, notamment, la description des Prestations, leur fonctionnement, leurs performances et la matrice des responsabilités entre 3DS OUTSCALE et le CLIENT en vue d’assurer la sécurité des Prestations et des Données. Les Spécifications sont décrites dans (i) les « Spécifications des Prestations » accessibles à xxxx.xxxxxxxx.xxx, (ii) la Déclaration d’Applicabilité, (iii) les documents auxquels renvoient les points i et ii mentionnés ci-avant, et (iv) les autres documents, quelle que soit leur forme, mentionnés aux CGV ou aux Conditions Particulières.

Stockage Persistant : Prestation souscrite par le CLIENT dans son interface de gestion ou API. Le Stockage Persistant peut être corrompu pour diverses raisons (mauvaise manipulation, malveillance, etc.) et il est de la responsabilité du CLIENT de faire des Snapshots et/ou sauvegardes aussi souvent que nécessaire pour être en mesure de revenir à un état connu.

Stockage Non Persistant : Espace de stockage utilisé par la Machine Virtuelle, dont les données seront effacées au redémarrage de la machine. Par défaut, la Machine Virtuelle du CLIENT ne dispose que d’un stockage pour son disque de démarrage qui ne doit pas être utilisé pour stocker des Données. Il est fortement recommandé au CLIENT de souscrire auprès de 3DS OUTSCALE à une solution de Stockage Persistant, et c’est même indispensable s’il veut conserver ses Données en cas d’arrêt d’une Machine Virtuelle.

Support Technique (ou Support) : Désigne le support technique fourni par 3DS OUTSCALE conformément aux Spécifications des Prestations et à l’article « Support technique » des présentes CGV.

Système CLIENT : Les applications, développements, Données, bases de Données, logiciels, etc. placés sur une(des) Machine(s) Virtuelle(s) ou un Service de Stockage Objet, par un CLIENT, afin de les rendre accessibles à des utilisateurs via Internet ou une liaison directe. Le CLIENT est seul responsable juridiquement et techniquement de son Système CLIENT.

Territoire : Désigne un pays ou un ensemble d’États partageant les mêmes règles juridiques concernant les données et notamment les données personnelles. Il peut y avoir plusieurs Régions sur le même Territoire.

Traiter/Traitement : Ont le sens qui leur est donné par la Législation sur les Données Personnelles.

Wiki OUTSCALE : documentation publique de 3DS OUTSCALE accessible pour le CLIENT à xxxx.xxxxxxxx.xxx.

Zones de disponibilité : Désigne un lieu situé dans une Région où 3DS OUTSCALE a déployé les équipements lui permettant de délivrer au CLIENT l’ensemble des Prestations prévues au Contrat. L’Infrastructure de 3DS OUTSCALE est conçue de manière à ce que la défaillance d’une Zone de disponibilité n’affecte pas toutes les autres Zones de la Région. En lançant son Système sur toutes les Zones de disponibilité d’une Région proposées par 3DS OUTSCALE, le CLIENT se prémunit des défaillances toujours possibles d’une seule Zone de disponibilité.

2 – Objet des présentes CGV

Les présentes CGV, complétées par les Conditions Particulières, ont pour objet de définir le périmètre et les modalités des Prestations fournies par 3DS OUTSCALE au CLIENT, ainsi que les conditions financières de celles-ci.

L’ensemble des Prestations couvertes par les présentes CGV est conforme aux prescriptions du code CISPE® et aux processus certifiés ISO 27001:2013.

3 – Formation du Contrat / Intégralité du Contrat / Hiérarchie‌

3.1 – Formation du Contrat‌

Le Contrat est irrévocablement formé dès l’acceptation par le CLIENT (i) des présentes CGV, d’une part, et, d’autre part, (ii) des Conditions Particulières.

L’acceptation par le CLIENT du Contrat suppose l’acceptation des présentes CGV, que le CLIENT reconnaît avoir lues et comprises. Bien que le CLIENT soit toujours un professionnel, il doit, avant d’accepter les présentes, se faire conseiller par un professionnel de l’informatique et des réseaux, en particulier pour effectuer les choix techniques du Contrat, et, notamment, les caractéristiques des Machines Virtuelles, leur système d’exploitation, les ressources nécessaires pour satisfaire ses besoins, etc.

Ainsi qu’il est expliqué à l’article « Validité des moyens électroniques pour les notifications émises dans le cadre du Contrat », le CLIENT doit refuser les présentes CGV, et ne pas conclure de Contrat avec 3DS OUTSCALE, s’il n’accepte pas les courriers électroniques comme moyen de notification dans le cadre du Contrat.

Le CLIENT souscrit à des Conditions Particulières sur Internet (3.1.1), avec un Bon de Commande accepté par 3DS OUTSCALE (3.1.2) ou en négociant un Contrat dérogatoire avec 3DS OUTSCALE (3.1.3).

3.1.1 – Souscription par Internet

À partir de l’un des sites Web 3DS OUTSCALE, le CLIENT peut souscrire un Contrat sur un Territoire donné en suivant un processus d’enregistrement.

Le CLIENT définit lors de son enregistrement :

▪ l’email associé au Compte (qui servira notamment à envoyer toutes les notifications et éventuelles mises en demeure dans le cadre du Contrat),

▪ ses données d’identification (nom, numéro de TVA intracommunautaire ou équivalent dans le pays du CLIENT, adresse, numéro de téléphone, etc.),

▪ le mot de passe.

Le CLIENT doit aussi adresser les informations bancaires qui permettront sa facturation.

Le Contrat sera irrévocablement réputé formé après la validation du Compte CLIENT et l’envoi par le CLIENT de ses informations bancaires à 3DS OUTSCALE.

Le CLIENT s’engage à donner des informations sincères et exactes et à jour, à défaut les obligations de 3DS OUTSCALE au titre des présentes sont suspendues jusqu’à correction et vérification des informations fournies par le CLIENT.

Si 3DS OUTSCALE détecte des anomalies dans les informations renseignées, laissant supposer que les informations fournies sont fausses ou erronées (si toute personne raisonnable placée dans la même situation que 3DS OUTSCALE considérerait lesdites informations comme erronées) il engagera la procédure de vérification décrite ci-dessous (ci-après la Procédure de Vérification) :

▪ 3DS OUTSCALE adressera un email au CLIENT afin de l’informer des anomalies détectées,

▪ Le CLIENT disposera d’un délai de DEUX (2) HEURES pour accuser réception de cet email et apporter des corrections ou fournir les pièces justificatives qui lui seraient demandées par 3DS OUTSCALE en vue de vérifier les informations renseignées,

▪ faute pour le CLIENT de respecter le délai précité, 3DS OUTSCALE pourra prendre toute mesure qu’elle estimera nécessaire pour assurer la sécurité de son Infrastructure, à ce titre elle pourra notamment pratiquer ou faire pratiquer toutes investigations pour identifier le CLIENT, vérifier l’utilisation faite des ressources mises à disposition du CLIENT et plus généralement tout ce qui pourrait s’avérer nécessaire pour s’assurer que l’utilisation faite par le CLIENT des ressources et de l’Infrastructure de 3DS OUTSCALE n’est pas contraire à la loi.

Pendant toute la durée de la Procédure de Vérification, 3DS OUTSCALE pourra, si elle l’estime nécessaire, suspendre le Compte du CLIENT ou limiter son activité. En cas de non-réponse du CLIENT ou de non-fourniture des informations ou pièces justificatives probantes, 3DS OUTSCALE pourra résilier sans préavis le Contrat formé en adressant un email ou un SMS au numéro de téléphone mobile fourni pour l’inscription.

Le cas échéant, à l’issue de l’inscription, le CLIENT reçoit une confirmation d’ouverture de son Compte.

L’ouverture du Compte vaut acceptation par 3DS OUTSCALE du Contrat associé et permet au CLIENT d’utiliser les Prestations 3DS OUTSCALE exclusivement dans l’ensemble des Régions situées dans le Territoire qu’il a choisi.

3.1.2 – Souscription par Bon de Commande

Le CLIENT peut commander des Prestations en contactant le service Commercial à sales- xx@xxxxxxxx.xxx.

Après acceptation du Bon de Commande du CLIENT, par 3DS OUTSCALE, le Contrat est formé et le Compte ouvert.

Certaines Régions et/ou certaines Prestations ne peuvent être commandées que par Bon de Commande.

3.1.3 – Souscription en négociant un Contrat dérogatoire

Lorsqu’un CLIENT sollicite la négociation d’un Contrat dérogatoire, 3DS OUTSCALE n’est jamais obligée d’accepter.

3.1.4 – Création du Compte CLIENT

Le CLIENT définit lors de la demande d’ouverture de son compte :

▪ L’email associé au Compte (qui servira notamment à envoyer toutes les notifications et éventuelles mises en demeure dans le cadre du Contrat),

▪ Ses données d’identification (nom, numéro de TVA intracommunautaire ou équivalent dans le pays du CLIENT, adresse, numéro de téléphone, etc.),

Le CLIENT accepte le Traitement de ces Données par 3DS OUTSCALE dans le but de lui fournir le Service.

Le CLIENT doit fournir ses informations de facturation ainsi que ses informations bancaires permettant d’assurer le paiement du Service.

A l’issue de l’ouverture de compte, le CLIENT reçoit une confirmation par email.

L’ouverture du Compte vaut acceptation par 3DS OUTSCALE du Contrat associé et permet au CLIENT d’utiliser les Prestations 3DS OUTSCALE exclusivement dans l’ensemble des Régions situées dans le Territoire qu’il a choisi.

3.2 – Intégralité du Contrat

Tous les pourparlers, publicités, mails, offres, propositions, etc. ayant le même objet que le Contrat (à savoir, d’une part, les présentes CGV, et, d’autre part, les Conditions Particulières) sont annulés par ce dernier, lequel constitue l’intégralité de l’accord entre le CLIENT et 3DS OUTSCALE relativement à son objet.

3.3 – Hiérarchie des documents contractuels / Interprétation

En cas de contradiction entre les Conditions Particulières et les présentes CGV, les présentes CGV l’emportent toujours, sauf dans le cas où les Conditions Particulières prennent la forme d’un Bon de Commande accepté et que sa/ses clause(s) contradictoire(s) avec les présentes CGV commencent par la mention « Par dérogation au CGV 2019-07 » ; ainsi que dans le cas où les présentes CGV prévoient expressément une possibilité de dérogation dans les Conditions Particulières ou en cas de Contrat dérogatoire.

Par ailleurs, si l’une des clauses du Contrat devait être jugée contraire à la loi, les Parties devront y substituer une autre clause conforme à la loi, et dont l’esprit sera le plus proche possible de la clause frappée de nullité.

Enfin, si une stipulation d’un Contrat soumis aux présentes CGV était susceptible de plusieurs interprétations, les Parties devront privilégier celle qui va dans le sens des prescriptions du Code CISPE.

3.4 – Extension automatique du Périmètre des Prestations

Grâce aux API 3DS OUTSCALE, le CLIENT peut développer des programmes qui souscriront automatiquement des Prestations 3DS OUTSCALE (nouvelles Machines Virtuelles, volume de stockage supplémentaire, etc.).

Il est entendu que, si le CLIENT utilise ces API, il ne pourra s’exonérer de ses obligations au titre des Prestations souscrites automatiquement, et en particulier celle de les payer, au motif que son Système les a commandés à tort (par exemple, si les automates du CLIENT, suite à un dysfonctionnement, ont commandé des Prestations contrairement aux prévisions du CLIENT).

Il est donc de la responsabilité du CLIENT d’utiliser les fonctionnalités de souscription automatique avec discernement et de mettre en œuvre tous les contrôles nécessaires.

4 – Durée/Terminaison du Contrat‌

Les Contrats conclus sous l’empire des présentes CGV le sont pour une durée indéterminée, sauf si le Contrat ne correspond pas à une Prestation On Demand et que ses Conditions Particulières lui fixent une durée (par exemple, en cas de réservation de Machine Virtuelle sur une période déterminée).

Concernant les Contrats de Prestations On Demand, chacune des Parties peut y mettre fin à tout moment, sans indemnité, y compris pour convenance.

Concernant les Prestations qui ne sont pas On Demand, le Contrat ne peut être résilié que conformément aux conditions convenues dans les Conditions Particulières et à défaut ils sont résiliables comme les Contrats On Demand, sauf les réservations de Machine Virtuelle qui sont toujours commandées à titre ferme et irrévocable sans faculté de résiliation anticipée.

La résiliation d’un Contrat On Demand se déroule ainsi :

▪ Le CLIENT : en adressant, à partir de l’adresse email associée à son Compte, un courrier électronique à xxxxxxx@xxxxxxxx.xxx dans lequel il exprime son intention de résilier et précise les Contrats à résilier s’il y a plusieurs Contrats associés à cette adresse email. 3DS OUTSCALE doit accuser réception, par retour d’email, de cette résiliation.

▪ 3DS OUTSCALE : en adressant un courrier électronique à l’adresse email du Compte CLIENT.

La résiliation sera effective 15 (quinze) jours francs après (i) l’accusé de réception de 3DS OUTSCALE si la résiliation est à l’initiative du CLIENT ou (ii) la date d’envoi du mail de résiliation de 3DS OUTSCALE si cette dernière est à l’initiative de la résiliation.

Avant la date de résiliation effective, le CLIENT devra impérativement avoir récupéré toutes ses Données qui étaient hébergées dans le cadre du/des Contrat(s) résilié(s), comme il est dit à l’article

« Récupération et effacement des Données ».

La résiliation du Contrat, qu’elle vienne de 3DS OUTSCALE ou du CLIENT, ne saurait dispenser le CLIENT de régler les Prestations déjà consommées.

5 – Évolution des CGV, des offres, des tarifs et des Contrats

Notamment afin d’améliorer la Qualité de Service de ses Prestations, 3DS OUTSCALE fera régulièrement évoluer les présentes CGV ainsi que ses offres (Spécifications des Prestations, tarifs, etc.).

Les nouvelles versions de CGV, offres et tarifs seront publiés sur le site Internet de 3DS OUTSCALE (xx.xxxxxxxx.xxx). 3DS OUTSCALE pourra aussi adresser un email à l’adresse du Compte CLIENT et/ou avertir le CLIENT d’une modification des conditions contractuelles via l’interface de gestion de son Compte. Étant précisé que, en cas de modification substantielle relative aux obligations incombant à chacune des Parties, cette modification devra obligatoirement être notifiée au CLIENT par email ou via l’interface de gestion de son Compte.

Dès leur publication, les nouvelles conditions contractuelles entrent en vigueur et s’appliquent (i) aux futures relations contractuelles entre 3DS OUTSCALE et ses CLIENTS On Demand ou non, et (ii) viennent automatiquement modifier les Contrats en cours avec les conséquences décrites aux sections

5.1 et 5.2 selon qu’ils sont On Demand ou non.

En cas de modification apportée par 3DS OUTSCALE aux Spécifications des Prestations et notamment à la Déclaration d’Applicabilité, il revient au CLIENT, le cas échéant assisté d’un professionnel de

l’informatique, de s’assurer que celles-ci restent en adéquation avec ses besoins et objectifs, en particulier en termes de sécurité.

5.1 – Conséquences des modifications sur les Contrats On Demand

Si le CLIENT n’accepte pas les modifications apportées par 3DS OUTSCALE à ses conditions On Demand – que ce soit au moment de la modification ou n’importe quand ultérieurement – il doit cesser de consommer les Prestations et notifier à 3DS OUTSCALE la résiliation du Contrat dans les conditions de l’article « Durée / Terminaison du Contrat ».

Si le CLIENT continue à consommer les Prestations On Demand nonobstant la modification de leurs conditions contractuelles, il sera réputé avoir accepté ces conditions modifiées.

3DS OUTSCALE ne verse jamais aucune indemnité au CLIENT suite à la modification de ses conditions contractuelles (CGV, offres et tarifs) On Demand, la possibilité pour elle de les modifier à sa guise étant la contrepartie de la liberté du CLIENT de mettre fin à sa convenance et sans indemnité aux Prestations On Demand.

5.2 – Conséquences des modifications sur les Contrats qui ne sont pas On Demand Les modalités de révision des Prestations qui ne sont pas On Demand sont définies dans leurs Conditions Particulières.

6 – Suspension des Prestations à la demande d’une autorité ou lorsque le CLIENT fait un usage illicite ou attentatoire à la sécurité des ressources fournies par 3DS OUTSCALE

3DS OUTSCALE, si elle a identifié des opérations malveillantes ou attentatoires à la sécurité de son Infrastructure ou de celles de tiers (telles que « flood », « scan », « déni de service », etc.) ayant pour origine les ressources qu’elle fournit au CLIENT (telles que Machines Virtuelles, Service de Stockage Objet, etc.), ou à la première demande d’une autorité (en particulier judiciaire) portant sur les ressources du CLIENT, ou chaque fois que la loi l’y oblige, pourra bloquer lesdites ressources et suspendre ses Prestations.

À compter de leur blocage, le CLIENT n’aura plus accès à ces ressources (ni aux Données qui leur sont associées) et, d’un point de vue réseau, elles seront isolées du reste de l’Infrastructure.

Si l’autorité qui a demandé le blocage et la loi imposent à 3DS OUTSCALE de maintenir les ressources bloquées pendant un certain délai et/ou jusqu’à une décision et/ou un autre évènement, 3DS OUTSCALE s’y conformera.

Sinon, 3DS OUTSCALE pourra :

▪ maintenir les ressources bloquées en attendant que les raisons ayant motivé le blocage aient disparu,

▪ à tout moment, et sans débloquer les ressources, notifier au CLIENT par email la résiliation du Contrat sous 10 (dix) jours francs, le CLIENT devant alors impérativement demander au « Service Client » 3DS OUTSCALE de lui restituer ses Données dans les conditions de l’article « Récupération et effacement des Données » s’il entend les conserver, faute de quoi elles seraient irrévocablement détruites.

Le CLIENT pourra aussi notifier la résiliation sans préavis du Contrat, à 3DS OUTSCALE, en adressant un courrier électronique à xxxxxxx@xxxxxxxx.xxx.

La résiliation du Contrat est sans préjudice d’éventuels dommages-intérêts que 3DS OUTSCALE pourrait réclamer au CLIENT s’il a manqué à ses engagements.

Les Prestations seront facturées nonobstant la suspension des Prestations, sauf dans le cas où 3DS OUTSCALE a manifestement suspendu les Prestations à tort.

7 – Résiliation du Contrat en cas de manquement‌

Si une Partie manque à ses obligations aux termes du Contrat – et, en particulier, s’agissant du CLIENT, s’il manque à ses obligations financières : retards de paiement, refus de paiement de sa banque, coordonnées bancaires qui ne sont plus à jour, etc. – l’autre Partie lui notifiera par email sa mise en demeure de remédier au manquement dans un délai de 7 (sept) jours francs.

À compter de cette mise en demeure, et si la Partie défaillante est le CLIENT, 3DS OUTSCALE pourra à tout moment bloquer l’accès aux ressources qu’elle lui fournit dans le cadre des Prestations (et donc aux Données associées) et suspendre lesdites Prestations.

Si cette mise en demeure de remédier au manquement reste infructueuse à l’issue de son délai, la Partie victime des manquements pourra notifier, par email, à la Partie défaillante, la résiliation du Contrat. En ce cas, la résiliation sera effective, de plein droit et sans recours au juge, 10 (dix) jours francs après l’envoi de l’email de résiliation.

Le CLIENT, avant la date de résiliation effective, devra impérativement avoir récupéré toutes ses Données hébergées chez 3DS OUTSCALE comme il est dit à l’article « Récupération et effacement des Données ».

La résiliation du Contrat n’empêche pas la Partie victime des manquements d’en demander réparation en justice à la Partie défaillante. En outre, la résiliation ne dispense en aucun cas le CLIENT de payer les Prestations qu’il a déjà consommées.

8 – Obligations générales de 3DS OUTSCALE‌

3DS OUTSCALE devra réaliser ses Prestations conformément aux règles de l’art, et notamment :

▪ Définir les moyens techniques et organisationnels permettant d’assurer une continuité de service et notamment : (i) documenter et mettre en place des moyens techniques et organisationnels et des procédures permettant de garantir le respect des engagements de service, (ii) les maintenir en conditions opérationnelles, (iii) les restaurer, (iv) les tester ;

▪ Opérer, maintenir, gérer, etc. l’Infrastructure 3DS OUTSCALE qui soutient les Machines Virtuelles du CLIENT et/ou les Services de Stockage Objet et autres Prestations ;

▪ Mettre à disposition du CLIENT les Machines Virtuelles qu’il a commandées avec le système d’exploitation prévu aux Conditions Particulières, ainsi que les outils de sécurité choisis par le CLIENT / mettre à disposition le Stockage Objet commandé ;

▪ Fournir les ressources souscrites On Demand sous réserve qu’elles soient disponibles au moment de la demande (si le CLIENT veut une garantie de disponibilité, il doit se rapprocher des services commerciaux 3DS OUTSCALE qui lui proposeront des offres adaptées comme des réservations de Machines Virtuelles) ;

▪ S’assurer que les Machines Virtuelles / le Stockage Objet disposent bien des ressources prévues aux Conditions Particulières ;

▪ Fournir au CLIENT une interface d’administration (« Cockpit ») de ses Machines Virtuelles pour qu’il puisse y installer et y administrer son Système (il revient au CLIENT, le cas échéant, assisté d’un professionnel de l’informatique, de s’assurer que son Système est administrable via ladite interface, ce qui implique que le CLIENT aura posé à 3DS OUTSCALE toute question utile à cet égard avant d’accepter le Contrat) ;

▪ Assurer une Prestation de Support et d’assistance conformément aux Spécifications des Prestations et, en tout état de cause, en fournissant un accès gratuit aux bases de connaissances disponibles sur le Wiki OUTSCALE (xxxx.xxxxxxxx.xxx) ;

▪ Fournir une API de commande permettant au CLIENT d’automatiser la gestion et l’administration des Prestations ;

▪ Fournir des interfaces d’administration distinctes pour ses CLIENTS (API) ;

▪ Fournir les états et reportings prévus aux Conditions Particulières ;

▪ Assurer, le cas échéant, les autres Prestations prévues aux Conditions Particulières ;

▪ Mettre en œuvre des mesures de cloisonnement appropriées : (i) entre les CLIENTS, (ii) entre les systèmes d’information du service et les autres systèmes d’information, (iii) entre l’infrastructure technique, les équipements nécessaires à l’administration des services et les ressources qu’elle héberge ;

▪ Stocker uniquement l’empreinte des mots de passe des utilisateurs et des comptes techniques ;

▪ Mettre en œuvre tous les moyens et procédures nécessaires pour garantir la sécurité physique et environnementale des différentes zones (publiques, privées et sensibles) entrant dans le périmètre du Service ;

▪ Mettre en œuvre les moyens permettant de garantir le niveau de protection en confidentialité et en intégrité des actifs sortants, du matériel recyclé et du matériel en attente d’utilisation ;

▪ Mettre en œuvre des mesures permettant de séparer physiquement ses environnements de développement, de test et de production ;

▪ Mettre en œuvre une politique de sauvegarde et de restauration des données qui sont sous sa responsabilité et une procédure permettant de tester la restauration des sauvegardes ;

▪ Mettre en œuvre une journalisation des évènements et conserver (au minimum 6 mois), protéger ces éléments et en limiter l’accès ;

▪ Gérer l’administration du Service ;

▪ Communiquer sans délai aux CLIENTS les incidents de sécurité et les préconisations associées pour en limiter les impacts ;

▪ Documenter l’appréciation des évènements et leur qualification en incident de sécurité, et partager ces informations avec le CLIENT ;

▪ Traiter les incidents de sécurité jusqu’à leur résolution et en informer les CLIENTS concernés, et garder les éléments de preuve relatifs aux incidents de sécurité ;

▪ Mettre en œuvre un processus d’amélioration continu afin de tirer des enseignements des incidents liés à la sécurité de l’information ;

▪ Définir des procédures internes dégradées lorsque le service d’hébergement ne peut pas être assuré comme en fonctionnement nominal (ceci ne concerne pas les procédures dégradées du CLIENT) ;

▪ Mettre en place un plan de continuité d’activité ;

▪ Mettre en œuvre les moyens nécessaires permettant d’identifier et de respecter les exigences légales, réglementaires et contractuelles en vigueur applicables au service, ainsi que les besoins de sécurité spécifiques ;

▪ Mettre à disposition du CLIENT les procédures relatives à l’ensemble de ses procédures en rapport avec les Services ;

▪ Mettre en place des contrôles périodiques visant à s’assurer que les mesures de protection mises en œuvre répondent aux exigences de sécurité et aux politiques de sécurité formalisées, et en définir les règles (nature des contrôles, périodicité).

3DS OUTSCALE est soumise aux engagements de Qualité de Service définis à l’article « Qualité de Service / SLA » ainsi qu’à l’Annexe A, qui peuvent donner lieu à des pénalités. Les Conditions Particulières peuvent déroger à l’Annexe A à l’exception de la limite définie au paragraphe ci-dessous.

En tout état de cause, toutes les pénalités dans le cadre des présentes CGV ne peuvent excéder 30 % (trente pour cent) du montant de la facture du mois où les incidents ayant généré les pénalités se sont produits. En outre, les pénalités constituent toujours une indemnité forfaitaire et définitive de dommages-intérêts pour ce qui concerne les incidents à l’origine des pénalités, ces pénalités ayant un caractère libératoire.

Par ailleurs, dans le cas où le CLIENT se retrouverait en situation de retard de paiement, sans que 3DS OUTSCALE n’ait interrompu les Prestations, le système de pénalité serait alors automatiquement suspendu, et ce tant que le CLIENT ne sera pas à jour de ses paiements.

En outre, les pénalités qui auraient pu être exigées par le CLIENT pendant la période de suspension des pénalités seront perdues.

Le fait que 3DS OUTSCALE ait continué les Prestations d’un CLIENT débiteur ne confère aucun droit au CLIENT, et (i) 3DS OUTSCALE pourra stopper les Prestations à tout moment (ii) en outre, le CLIENT ne pourra en aucun cas arguer qu’il a bénéficié pendant une période du maintien des Prestations, malgré un retard de paiement, pour exiger le renouvellement de cette tolérance ultérieurement.

9 – Obligations du CLIENT

9.1 – Obligation de prudence

Le CLIENT devra jouir des Machines Virtuelles et/ou Stockages Objets mis à sa disposition par 3DS OUTSCALE de manière raisonnable, et en particulier, il s’engage à :

▪ Veiller au respect des lois applicables aux Prestations, notamment, en France, la Loi pour la Confiance dans l’Économie Numérique et les différentes lois sur la sécurité intérieure et les lois équivalentes à l’étranger ;

▪ Mettre en œuvre les procédures adéquates, dans le cadre de l’utilisation de ses services, permettant de respecter les exigences légales, réglementaires et contractuelles avec ses propres clients ;

▪ Veiller au respect de toutes les réglementations en vigueur applicables aux Données du CLIENT (données personnelles comme indiqué à l’article « Données du CLIENT » et en particulier le RGPD, données de santé, obligations applicables aux Organismes d’Importance Vitale [OIV], Lois de programmation militaire). Le CLIENT ne peut pas héberger des données de santé à caractère personnel, et les organismes d’importance vitale (OIV) au regard de la loi de programmation militaire, ne peuvent pas héberger des Systèmes d’information d’importance vitale (SIIV) sur une offre Cloud mutualisée, 3DS OUTSCALE proposera des offres spécifiques à cet effet qui nécessitent un Contrat dérogatoire aux présentes CGV ;

▪ Informer le Prestataire si des données soumises à des contraintes légales, réglementaires ou sectorielles spécifiques lui sont confiées. Pour toute donnée soumise à des contraintes spécifiques, 3DS OUTSCALE demande une analyse de risque préliminaire pour ces données. En se basant sur le résultat de cette analyse de risque, 3DS OUTSCALE travaillera avec le CLIENT sur des actions à prendre en commun afin d’apporter une réponse adéquate à ces risques ;

▪ Mettre en œuvre un chiffrement sur les flux de données et sur les données évaluées comme

« sensibles » dans le cadre de l’analyse de risque ;

▪ De manière générale, en particulier s’il propose un site Internet ouvert au public, respecter toutes les obligations légales à cet égard ;

▪ Fournir des informations d’identification et des informations bancaires lors de la création de son Compte CLIENT et les maintenir à jour ;

▪ Veiller au respect des délais de paiement prévus par le Contrat ;

▪ De convention expresse, le CLIENT est seul responsable juridiquement et techniquement de son Système (y compris les Données, d’où qu’elles viennent) ; il est aussi responsable de ses noms de domaine, certificats SSL, de la gestion des logs de son Système conformément à la loi, etc. ;

▪ Protéger ses Clés d’Accès au Service ;

▪ Régénérer ses Clés d’Accès au Service (AK/SK) lorsque 3DS OUTSCALE en fait la demande, notamment pour des raisons de sécurité ; étant entendu que 3DS OUTSCALE veillera à demander cette modification selon une fréquence raisonnable. Dans le cas où 3DS OUTSCALE fait la demande d’une telle modification et que le CLIENT ne procède pas à la modification de ses AK/SK dans les meilleurs délais (à savoir dans les VINGT-QUATRE [24] HEURES suivant la demande) la

responsabilité de 3DS OUTSCALE quant aux dommages pouvant survenir en lien avec cette absence de modification est écartée ;

▪ Ne pas proposer un Système contraire aux différentes normes, lois, décrets, etc. nationaux et internationaux (incitation à la haine raciale, pédophilie, contrariété à l’ordre public, diffamation, droit de la presse et de la communication audiovisuelle, ordre public économique, spam, criminalité informatique, etc.) ;

▪ Ne pas commettre ou faciliter, directement ou indirectement, des actes de contrefaçon ou de concurrence déloyale au travers de son Système ;

▪ Ne rien faire avec ses Machines Virtuelles / Service de Stockage Objet qui puisse techniquement mettre en péril l’Infrastructure 3DS OUTSCALE ainsi que les Machines Virtuelles / Stockage Objet des autres CLIENTS. De convention expresse, si 3DS OUTSCALE identifiait des opérations techniquement malveillantes ayant pour origine une ou plusieurs des Machines Virtuelles du CLIENT (tels que « flood », « scan », « spam », « dénis de service », etc.), 3DS OUTSCALE pourrait alors immédiatement bloquer les Machines Virtuelles incriminées, voire toutes les Prestations, sans préjudice pour 3DS OUTSCALE de lancer la procédure de résiliation du Contrat et de réclamer des dommages-intérêts ;

▪ Le transfert des données par le CLIENT est sous son entière responsabilité ;

▪ Mettre en œuvre les moyens de contrôle d’accès et de gestion des identités pour les utilisateurs sous sa responsabilité qui utilisent des interfaces de gestion des comptes et des droits d’accès hors celles fournies par le prestataire ;

▪ Analyser et gérer les risques sur les infrastructures virtualisées déployées sur la plateforme en :

(i) assurant la formation des personnes habilitées à exploiter la plateforme, notamment sur les spécificités du cloud, (ii) auditant à intervalle régulier les backups, l’intégrité des données et les accès actifs sur la plateforme, (iii) déployant à l’état de l’art les ressources afin de limiter les accès aux seuls besoins fonctionnels établis, (iv) utilisant si nécessaire des liens chiffrés et/ou dédiés pour les communications évaluées comme sensibles.

Le CLIENT ne pourra s’exonérer des obligations ci-dessus en arguant que l’infraction n’a pas été commise par lui-même, mais par un utilisateur de son Système. Dès lors, le CLIENT devra prendre toutes les mesures nécessaires pour éviter que de telles infractions soient commises, et pour en limiter les conséquences si elles devaient se produire malgré les précautions prises.

Le CLIENT indemnisera intégralement 3DS OUTSCALE de son éventuelle condamnation suite à une violation par le CLIENT de l’une de ses obligations ci-dessus.

9.2 – Obligation de collaboration

Le CLIENT s’engage à collaborer de bonne foi avec 3DS OUTSCALE en vue de la bonne fin des Prestations, et notamment à communiquer proactivement les informations en sa possession qui pourraient lui être utiles (en particulier, les éventuels dysfonctionnements rencontrés).

Le CLIENT s’engage à nommer un Responsable ayant les compétences techniques et la capacité juridique nécessaire pour :

▪ Autoriser / gérer les Extensions du périmètre des Prestations,

▪ Intervenir sur les Machines Virtuelles,

▪ Gérer le Compte CLIENT, et en particulier s’assurer que les informations de règlement sont toujours valides, afin d’éviter tout retard de paiement.

Le CLIENT s’engage auprès de 3DS OUTSCALE a avoir en permanence un interlocuteur Responsable.

Par ailleurs, si le CLIENT envisage de lancer une opération marketing, de communication, un audit sur ses Systèmes, etc. susceptibles de provoquer un accroissement important de sa consommation de ressources (bande passante, mémoire ou calcul), il lui revient, dans le cadre de son devoir de

collaboration, d’en informer 3DS OUTSCALE préalablement au lancement de ladite opération, et ce dans un délai raisonnable, afin notamment d’éviter que cet accroissement soudain d’activité ne soit analysé comme une anomalie de sécurité et n’entraîne une éventuelle suspension temporaire des Prestations.

9.3 – Obligation de réception‌

De par la nature continue des Prestations fournies et l’existence d’un monitoring permanent à disposition du CLIENT, il est mis en place un système de recette (« réception » au sens du Code civil) des Prestations, dit « au fil de l’eau ».

Toutes les Prestations fournies par 3DS OUTSCALE sont donc provisoirement recettées par le CLIENT au fur et à mesure qu’il les consomme.

La recette définitive est prononcée de plein droit XXXXXXXX-XXXX (00) HEURES après la recette provisoire à défaut par le CLIENT de notification à 3DS OUTSCALE, par mail dans les QUARANTE- HUIT (48) HEURES de la recette provisoire, de l’existence d’une réserve motivée affectant la Prestation.

Ladite notification devra documenter la réserve formulée : date, heure de début et fin de la période d’indisponibilité justifiée au moyen des outils à sa disposition.

Aucune réserve ne pourra être formulée au-delà du délai mentionné ci-dessus. Le défaut de documentation conforme d’une réserve formulée vaudra levée de celle-ci.

10 – Prestations

10.1 – Spécifications des Prestations

Le CLIENT peut souscrire une ou plusieurs des Prestations résumées ci-dessous.

Il est rappelé que le CLIENT a eu accès aux Spécifications détaillées sur xxxx.xxxxxxxx.xxx avant de signer le Contrat et a pu s’assurer de l’adéquation des Prestations à ses besoins.

En sus de la documentation ci-dessus, en cas de doute, le CLIENT a pu demander toutes les précisions techniques nécessaires aux équipes 3DS OUTSCALE.

Enfin, en cours de Contrat, le CLIENT peut toujours demander des précisions sur les Spécifications à 3DS OUTSCALE.

10.1.1 – Flexible Compute Unit (FCU) : les Machines Virtuelles

Les machines virtuelles sont lancées par le CLIENT dans le Cloud public ou dans un Virtual Private Cloud (VPC) qui est le mode préconisé par 3DS OUTSCALE.

Chaque Machine Virtuelle est composée d’éléments de calcul, de stockage et de mémoire, sur laquelle tourne un système d’exploitation (Operating System - OS) qui peut héberger les applications métiers du CLIENT.

Le CLIENT peut choisir entre différentes configurations matérielles appelées types de Machine Virtuelle, et entre différentes images machines utilisées comme modèle pour les Machines Virtuelles à lancer.

10.1.2 – OUTSCALE Machine Image (OMI)

Une OMI est un modèle de Machine Virtuelle qui contient au moins un système d’exploitation (operating system - OS) et possiblement d’autres applications logicielles et configurations comme des « block device mappings » référençant des BSU. Les OMIs permettent de lancer des Machines Virtuelles avec

la configuration et les applications logicielles prédéfinies, sans avoir à les installer sur toutes les Machines Virtuelles.

Une OMI est une Image Machine utilisée comme modèle pour lancer des Machines Virtuelles basées sur un volume BSU comme volume système. Une OMI fournit au moins un système d’exploitation (UNIX ou Windows) et peut fournir des applications logicielles ou des copies d’autres volumes BSU.

3DS OUTSCALE traite les vulnérabilités de ses OMI en temps réel via son Security Operation Center et communiquera au CLIENT la disponibilité de nouvelles OMI.

En tout état de cause, 3DS OUTSCALE n’est pas responsable des vulnérabilités des systèmes d’exploitation et autres applications logicielles et configurations contenues dans ses OMI Officielles, la sécurité de ces éléments étant de la seule responsabilité de leurs éditeurs, distributeurs et/ou auteurs respectifs.

Par ailleurs, 3DS OUTSCALE conseille au CLIENT de ne pas empêcher les processus de mise à jour automatique des logiciels contenus dans les OMI, en particulier les systèmes d’exploitation. Dans le cas d’une utilisation par le CLIENT de Machines Virtuelles publiées par des tiers, le CLIENT a la responsabilité de contacter le tiers concerné, éditeur de l’OMI. 3DS OUTSCALE ne pourra en aucun cas être tenu responsable dans ce cas de figure.

10.1.3 – Block Storage Unit (BSU)

Les volumes Block Storage Unit (BSU) sont des disques durs virtuels que le CLIENT peut attacher à une machine virtuelle FCU créée dans la même Zone de Disponibilité.

Un volume est défini par sa taille et sa capacité d’IOPS.

10.1.4 – Les Security Groups

Les security groups permettent de gérer et contrôler les flux entrants et sortants des Machines Virtuelles grâce à un ensemble de règles selon les besoins et l’architecture du CLIENT.

Chaque Machine Virtuelle, que ce soit dans le Cloud public ou dans un Virtual Private Cloud (VPC), est lancée derrière au moins un security group auquel le CLIENT peut ajouter ou retirer des règles.

10.1.5 – Virtual Private Cloud (VPC)

Un VPC est un réseau virtuel défini par le CLIENT, qui est isolé au sein du Cloud 3DS OUTSCALE et qui est dédié au compte du CLIENT. Le CLIENT peut lancer des Machines Virtuelles et créer des ressources dans son VPC. Les VPCs sont créés pour une Région.

Les VPCs permettent également de créer une peering connection avec un autre VPC, d’utiliser plusieurs network interfaces pour ces Machines Virtuelles et de créer des connexions DirectLink ou VPN.

10.1.6 – External Internet Protocol (EIP)

Une EIP est une adresse IP V4 conçue pour être dynamiquement transférable d’une Machine Virtuelle à une autre et accessible par le CLIENT, depuis Internet.

Chaque EIP est liée avec votre compte 3DS OUTSCALE. Une EIP décommissionnée d’un compte ne peut-être réattribuée.

10.1.7 – Load Balancing Unit (LBU)

Un load balancer distribue le trafic réseau entrant entre plusieurs Machines Virtuelles Flexible Compute Unit (FCU) du Cloud public ou d’un Virtual Private Cloud (VPC) pour éviter leur surcharge et augmenter la disponibilité et la fiabilité des services du CLIENT.

10.1.8 – Object Storage Unit (OSU)

Object Storage Unit (OSU) est un système de stockage en mode objet. Chaque objet dispose d’une URL qui lui est propre pour y accéder.

OSU permet notamment de :

▪ Créer des buckets pour y stocker des objets ;

▪ Gérer des Access Control Lists (ACL) ;

▪ Supprimer des objets et des buckets ; etc.

Le stockage Objet fourni par 3DS OUTSCALE utilise l’application open source CEPH. 3DS OUTSCALE sponsorise des développeurs sur ce projet, mais n’est pas propriétaire de celui-ci qui est animé par la communauté open source.

10.1.9 – Elastic Identity Management (EIM)

Ce service permet au CLIENT de créer et gérer des politiques de sécurité par utilisateur attaché à son compte. Il est de la responsabilité du CLIENT de contrôler la diffusion des politiques de sécurité et des clés d’accès attachées aux utilisateurs.

Il est par ailleurs recommandé de mettre en place une politique de gestion du cycle de vie des utilisateurs et des clés d’accès associées.

10.1.10 – DirectLink

Le CLIENT peut souscrire, à travers un contrat à part, à un service de mise à disposition d’un port réseau interne au Cloud de 3DS OUTSCALE. Ce service est souscrit pour une durée déterminée à l’avance, et précise le point d’accès géographique et le débit souscrit.

Le CLIENT aura alors accès à un point d’accès virtuel, manipulable à travers les APIs publiques de 3DS OUTSCALE afin de le relier à un VPC (Virtual Private Cloud).

10.1.11 – Flexible Graphical Processing Unit (Flexible GPU)

Un Graphical Processing Unit (ou GPU) est une fonctionnalité optionnelle disponible dans une Machine Virtuelle permettant l’accélération de calculs graphiques ou de calculs hautement parallélisés dans les applications du CLIENT. Un Flexible Graphical Processing Unit (ou Flexible GPU) est une réservation d’un Graphical Processing Unit pouvant être attaché et détaché d’une Machine Virtuelle sur demande.

10.2 – Sécurité des Prestations

10.2.1 – Dans la Région EEE

Le CLIENT a, sous le sceau de la confidentialité, accès aux informations de la Déclaration d’Applicabilité 3DS OUTSCALE dans le cadre de sa certification ISO 27001:2013 avant la conclusion du Contrat ; et, après sa conclusion, il peut accéder à ces informations à sa convenance sous réserve d’en faire la demande.

Cette Déclaration décrit notamment tout le Système de Management de la Sécurité de l’Information en vigueur chez 3DS OUTSCALE pour ses Prestations dans l’EEE, et à tous les niveaux : sécurité physique, processus de sécurité, environnements de sécurité, sécurité du réseau, etc.

Elle permet au CLIENT d’avoir un inventaire des mesures de sécurité en place et de connaître le niveau de sécurité appliqué chez 3DS OUTSCALE.

En outre, le CLIENT peut poser aux équipes 3DS OUTSCALE toutes questions relatives à la sécurité (en particulier la sécurité des Données personnelles), et 3DS OUTSCALE s’engage à faire ses meilleurs efforts pour y répondre dans les meilleurs délais, (i) soit gratuitement, (ii) soit en contrepartie d’une rémunération équitable (sur devis accepté par le CLIENT) lorsque la complexité de la question, et/ou la charge de travail nécessaire pour y répondre, dépassent ce qu’on peut raisonnablement attendre de tout fournisseur comme 3DS OUTSCALE dans un contexte similaire.

Les options que le CLIENT peut commander pour renforcer la sécurité des Prestations sont décrites dans les Spécifications des Prestations.

Toutes les Prestations 3DS OUTSCALE sont délivrées conformément aux exigences de la norme ISO 27001:2013, ce qui fait l’objet d’une vérification par un audit effectué par un tiers indépendant sur une fréquence annuelle a minima.

10.2.2 – Hors Région EEE

Le CLIENT, en transférant ses Données sur celles des Infrastructures 3DS OUTSCALE qui sont situées hors Région EEE, doit être conscient qu’il ne bénéficiera plus des garanties de sécurité EEE 3DS OUTSCALE décrites au point (10.2.1) ci-dessus.

Les garanties de sécurité hors Région EEE sont définies dans les Spécifications des Prestations applicables à la Région et varient d’une Région à l’autre. Le CLIENT doit s’assurer, assisté d’un conseil spécialisé s’il n’en a pas les compétences, que les garanties apportées par 3DS OUTSCALE dans la Région sont conformes à ses exigences de sécurité.

3DS OUTSCALE ne garantit pas que ses Prestations hors Région EEE sont conformes aux prescriptions du Code CISPE.

10.3 – Synchronisation des Comptes entre les Territoires & Régions

Par défaut, 3DS OUTSCALE fournira un jeu de Clés d’Accès au Service différent par région.

Le CLIENT peut demander à 3DS OUTSCALE de synchroniser ses Comptes sur tous les Territoires & Régions. 3DS OUTSCALE accédera à cette demande, sous réserve qu’elle fasse l’objet d’une demande à xxxxxxx@xxxxxxxx.xxx ou d’un Bon de Commande signé du CLIENT, mais invite le CLIENT à mesurer, aidé de conseils spécialisés, toutes les conséquences d’une telle synchronisation qu’elle déconseille fortement.

En particulier, la législation locale peut permettre à un État d’obtenir les Clés du CLIENT et donc d’accéder à ses Données dans toutes les Régions, y compris en France. C’est pourquoi 3DS OUTSCALE conseille à son CLIENT de ne pas synchroniser ses Comptes et d’avoir un jeu de Clés d’accès au Service par Territoire voir par Région si cette granularité lui semble nécessaire.

11 – Qualité de Service / Service Level Agreement‌

En sus de la technologie éprouvée de 3DS OUTSCALE, les Prestations s’appuient sur des matériels dont les fournisseurs, mondialement connus, garantissent le fonctionnement (via leurs indicateurs MTBF, RTO, etc.).

Les SLAs dépendent des Prestations considérées, ils sont présentés individuellement en Annexe A des présentes CGV. Les SLA de l’Annexe A sont ceux de 3DS OUTSCALE pour la Région EEE, ils

s’appliquent aussi par défaut dans les autres Régions, étant entendu que les SLA applicables aux Prestations dans les autres régions peuvent déroger à l’Annexe A.

On doit décompter des temps de disponibilité les interventions de maintenance planifiées, sous réserve que 3DS OUTSCALE en ait averti le CLIENT au moins deux jours francs à l’avance.

On décomptera aussi des temps de disponibilité toute intervention qui aura pour but de protéger les Données CLIENT ou l’Infrastructure contre un risque majeur exceptionnel comme une vulnérabilité de sécurité critique ou une cyberattaque massive.

Le CLIENT ne peut pas invoquer les engagements ci-dessus s’il n’a pas suivi les préconisations de 3DS OUTSCALE, telles que récapitulées dans les Spécifications et sur le Wiki OUTSCALE (xxxx.xxxxxxxx.xxx), concernant l’usage des Prestations, le manquement aux préconisations étant une faute du CLIENT.

Dans le cas où 3DS OUTSCALE manquerait à ses engagements de disponibilité, sans faute du CLIENT, le CLIENT serait en droit d’exiger les crédits mentionnés à l’Annexe B. 3DS OUTSCALE manque à ses engagements si :

▪ les engagements de Qualité de Service définis à l’Annexe A ne sont pas respectés ;

▪ ce non-respect n’est pas lié à une faute du CLIENT ;

▪ le CLIENT est directement concerné par ce non-respect en tant que CLIENT de 3DS OUTSCALE et non par exemple en tant qu’utilisateur d’un service s’appuyant sur 3DS OUTSCALE, mais fourni par un tiers.

Le fait que 3DS OUTSCALE ait manqué ou non à ses engagements de Qualité de Service s’apprécie sur une période glissante définie dans les SLA.

Les temps d’indisponibilités décomptés sont uniquement ceux qui ont fait l’objet d’une notification de réserve conformément à l’article « Obligations du CLIENT / Obligation de réception » des CGV.

Le CLIENT disposera d’un délai de 5 (cinq) jours francs à compter de la fin de la période considérée pour notifier, à 3DS OUTSCALE l’application des pénalités qui sont, de convention expresse, libératoires. Le CLIENT devra joindre à sa notification :

▪ Le calcul du CLIENT montrant que 3DS OUTSCALE a manqué à ses engagements de Qualité de Service sur la période considérée pour des Prestations non recettées définitivement,

▪ Les références des réserves notifiées (au sens de l’article « Obligations du CLIENT / Obligation de réception » des CGV) à l’appui de son calcul.

Si le CLIENT a correctement documenté et démontré les manquements de 3DS OUTSCALE, il bénéficiera d’un crédit à valoir sur le prix des Prestations, valable pendant une durée de 1 (un) an, dont les montants et modalités de calculs sont définis à l’Annexe B.

Si le CLIENT dispose de plusieurs Comptes, les crédits mentionnés ci-dessus qu’il acquiert en raison d’un manquement de 3DS OUTSCALE au Contrat associé à un Compte ne sont pas utilisables pour consommer des Prestations dans le cadre d’un autre Contrat attaché à un autre Compte.

Le fait pour le CLIENT de ne pas réclamer les pénalités ci-dessus vaut renonciation définitive de celui- ci au bénéfice de ses réserves notifiées, lesquelles seront réputées n’avoir jamais existé.

12 – Propriété Intellectuelle‌

12.1 – Propriété des technologies servant à délivrer les Prestations

Le Contrat n’emporte aucun transfert ou cession de droits de propriété intellectuelle et/ou industrielle (brevet) sur les éléments servant à délivrer les Prestations (Logiciel TINA OS en particulier) qui appartiennent à 3DS OUTSCALE.

En outre, il est précisé qu’il est strictement interdit au CLIENT de :

▪ reproduire l’un quelconque des éléments servant à fournir les Prestations : code informatique, textes, images, design, charte graphique, ergonomie, documentation, etc.

▪ chercher à reconstituer les technologies appartenant à 3DS OUTSCALE, en particulier, par les méthodes de l’ingénierie inverse.

Nonobstant ce qui précède, 3DS OUTSCALE concède au CLIENT, à titre personnel et non exclusif, les droits sur les éléments ci-dessus dans la stricte mesure nécessaire pour utiliser les Prestations et uniquement pour la durée de celles-ci, ladite concession prenant automatiquement fin en même temps que celles-ci.

12.2 – Propriété des Systèmes du CLIENT et de ses Données

L’ensemble des éléments composant les Systèmes du CLIENT et ses Données reste en tout état de cause la propriété du CLIENT, le Contrat n’emportant aucun transfert ou cession de droits de propriété intellectuelle et/ou industrielle (brevet).

12.3 – Signes distinctifs des Parties

Chaque Partie s’interdit tout agissement et tout acte susceptible de porter atteinte directement ou non aux signes distinctifs l’autre Partie, et en particulier ses marques.

Sans préjudice pour 3DS OUTSCALE de citer le CLIENT en référence et pour le CLIENT de mentionner qu’il utilise les Prestations 3DS OUTSCALE. Toutefois, chaque Partie, sans avoir à le motiver, peut notifier à l’autre Partie de ne plus la citer.

12.4 – Contact

Pour les demandes concernant vos droits de propriété intellectuelle, vous pouvez vous adresser à : xxxxxxxxxxxx-xxxxxxxx-xxxxxx@xxxxxxxx.xxx.

13 – Responsabilité – Force majeure – Assurance

13.1 – Responsabilité de 3DS OUTSCALE

À toutes fins utiles, il est précisé que le présent article ne s’applique pas à la responsabilité du CLIENT, en particulier au titre d’une éventuelle condamnation de 3DS OUTSCALE en raison de l’illégalité de tout ou partie du Système du CLIENT (notamment au titre de la pédophilie, violation sur la Législation des Données Personnelles, l’incitation à la haine raciale, contrefaçon, etc.)

3DS OUTSCALE indemnisera le CLIENT – pour le préjudice dont ce dernier devra rapporter la preuve

– en cas de manquement de 3DS OUTSCALE à ses obligations aux termes du Contrat, et ce dans la limite (plafond de responsabilité) de 2 (deux) fois le montant mensuel facturé au CLIENT au titre de la Prestation à l’origine de la responsabilité de 3DS OUTSCALE si le manquement de 3DS OUTSCALE a duré au plus 15 (quinze) jours ; si le manquement a duré 16 (seize) jours ou plus, le plafond sera porté à 3 (trois) fois le montant mensuel facturé au titre de la Prestation défaillante.

De convention expresse, 3DS OUTSCALE décline toute responsabilité quant aux dommages indirects et/ou immatériels, tels que : perte d’exploitation, perte de chiffre d’affaires, perte de données ou corruption d’application, désorganisation, atteinte à l’image du CLIENT, etc.

Aucune des limites ci-dessus ne s’applique en cas d’atteinte à l’intégrité des personnes physiques.

13.2 – Force Majeure

La responsabilité de 3DS OUTSCALE, en cas de manquement à l’une quelconque de ses obligations aux termes du Contrat, ne sera pas engagée lorsque cette inexécution a pour origine un évènement qui revêt les caractères de la force majeure.

Sont réputés évènements revêtant les caractères de la force majeure outre ceux que la loi ou la jurisprudence qualifie comme tels, tous les actes de criminalités informatiques (sous réserve que 3DS OUTSCALE ait mis en œuvre une politique de sécurité raisonnable), les dysfonctionnements majeurs du réseau Internet et les dysfonctionnements électriques.

13.3 – Assurance

Si le CLIENT entend opérer des Données critiques ou stratégiques (par exemple, des données de facturation, de paie, des éléments de R&D, etc.) sur les Machines Virtuelles / Stockage Objet 3DS OUTSCALE, il revient au CLIENT de souscrire une assurance spécifique perte de données.

14 – Données du CLIENT‌

14.1 – Principes généraux relatifs aux Données du CLIENT

Pour délivrer les Prestations, 3DS OUTSCALE s’interdit d’accéder aux Données du CLIENT : 3DS OUTSCALE gère le stockage physique des Données, mais s’interdit de regarder leur stockage logique, et ce quelle que soit la nature des Données, personnelles ou non.

3DS OUTSCALE recommande au CLIENT de chiffrer ses Données et de ne pas lui remettre la clé de chiffrement.

Il est précisé que 3DS OUTSCALE n’effectue aucune opération de marketing direct, profiling ou datamining sur les Données du CLIENT.

Toutefois, si une décision, une ordonnance ou une requête contraignante, émanant (i) de la justice ou

(ii) d’une autorité gouvernementale, commandait à 3DS OUTSCALE de lui divulguer les Données du CLIENT, 3DS OUTSCALE s’y conformerait dans la stricte limite de ce qui est nécessaire compte tenu des termes de la loi et de ladite décision, ordonnance ou requête. 3DS OUTSCALE en informerait immédiatement le CLIENT.

De plus, il est rappelé que 3DS OUTSCALE ne procède à aucun transfert des Données du CLIENT en dehors de la zone préalablement choisie par ce dernier.

14.2 – Données Personnelles

Le CLIENT s’engage à respecter, dans le cadre des présentes CGV, la politique de protection des données personnelles de 3DS OUTSCALE accessible à l’adresse suivante xxxxx://xx.xxxxxxxx.xxx/xxxxxxx-xxxxxxx-xxxxxxxxxxxx/ dont il atteste avoir pris connaissance.

Le CLIENT et 3DS OUTSCALE s’engagent à respecter la réglementation en vigueur applicable au traitement des Données Personnelles et, en particulier, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.

14.2.1 – Lorsque 3DS OUTSCALE agit en qualité de Sous-Traitant

3DS OUTSCALE agit en qualité de Sous-Traitant lors de la réalisation de ses Services de Cloud Computing s’agissant du stockage des Données du CLIENT sur l’infrastructure Cloud de 3DS OUTSCALE. Le CLIENT a alors qualité de Responsable du Traitement.

Le CLIENT garantit à 3DS OUTSCALE qu’il fera un usage conforme à la Législation sur les Données Personnelles des Infrastructures et Prestations 3DS OUTSCALE et qu’il respectera ses obligations de Responsable du Traitement des Données Personnelles.

a) Description des traitements faisant l’objet de la Sous-Traitance

Le Sous-Traitant est autorisé à traiter pour le compte du Responsable du traitement les Données Personnelles nécessaires pour fournir ses Services.

La nature des opérations réalisées sur les Données Personnelles est le stockage de ces Données sur l’infrastructure Cloud de 3DS OUTSCALE.

La finalité du traitement est la réalisation du contrat conclu entre le CLIENT et 3DS OUTSCALE.

Les Données Personnelles traitées sont toutes les données à caractère personnel stockées sur l’infrastructure Cloud de 3DS OUTSCALE par le CLIENT.

Les catégories de personnes concernées sont déterminées par le CLIENT.

b) Obligations du Sous-Traitant et du Responsable du traitement

1. Finalités. Le Sous-Traitant s’engage à traiter les Données Personnelles uniquement pour la ou les finalités qui font l’objet de la sous-traitance.

2. Instructions du Responsable du Traitement. En tant que Sous-Traitant, 3DS OUTSCALE s’engage à traiter les Données Personnelles conformément aux instructions du Responsable du traitement. Le Contrat entre le CLIENT et 3DS OUTSCALE ainsi que l’usage que le CLIENT fait des Prestations fournies par 3DS OUTSCALE constitueront les instructions exhaustives et définitives du CLIENT en matière de Traitement des Données. Si le Sous-Traitant considère qu’une instruction constitue une violation de la Législation sur les Données Personnelles, il en informera le Responsable du traitement.

3. Confidentialité. 3DS OUTSCALE s’engage à garantir la confidentialité des Données Personnelles traitées dans le cadre des présentes CGV. 3DS OUTSCALE s’engage à veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu des présentes CGV reçoivent la formation nécessaire en matière de protection des Données Personnelles et s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4. Protection des Données Personnelles dès la conception et par défaut. Le Sous-Traitant s’engage à prendre en compte s’agissant de ses Services les principes de protection des Données Personnelles dès la conception et de protection des Données personnelles par défaut.

5. Tiers. 3DS OUTSCALE peut recourir à des tiers pour délivrer ses Services. Ces tiers sont listés dans la politique de protection des données personnelles de 3DS OUTSCALE accessible à xxxxx://xx.xxxxxxxx.xxx/xxxxxxx-xxxxxxx-xxxxxxxxxxxx/. 3DS OUTSCALE s’engage à ne pas modifier la liste de ces tiers sans information préalable du CLIENT. Les tiers sont tenus de respecter les obligations des présentes CGV pour le compte et selon les instructions du Responsable du traitement. Si le tiers ne remplit pas ses obligations en matière de protection des Données Personnelles, 3DS OUTSCALE demeure pleinement responsable devant le CLIENT de l’exécution par le tiers de ses obligations.

6. Droit à l’information des personnes concernées. Il appartient au Responsable du traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des Données Personnelles.

7. Exercice des droits des personnes. Dans la mesure du possible, le Sous-Traitant aide le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, droit de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des Données Personnelles, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Si les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant adressera ces demandes dans les meilleurs délais par courrier électronique au Responsable du traitement.

8. Aide du Sous-Traitant dans le cadre du respect par le Responsable du traitement de ses obligations. Dans la mesure du possible, le Sous-Traitant aide le Responsable du traitement pour la réalisation d’analyses d’impact relatives à la protection des Données Personnelles ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.

9. Mesures de sécurité. Le Responsable du Traitement et le Sous-Traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux éventuels risques. Les mesures de sécurité mises en place sont détaillées dans la politique de protection des données de 3DS OUTSCALE. 3DS OUTSCALE s’engage notamment à mettre en œuvre les mesures de sécurité prévues par la certification ISO 27001. Le CLIENT reste seul responsable de la sécurité des systèmes qu’il met en place dans le cadre de l’utilisation des Services (pare feu, mises à jour, gestion des droits d’accès...). Dans le cadre des présentes CGV, 3DS OUTSCALE met à la disposition du CLIENT les informations nécessaires (notamment la Déclaration d’Applicabilité) pour que ce dernier puisse évaluer la conformité des Prestations 3DS OUTSCALE à ses exigences de sécurité.

10. Transfert des Données Personnelles dans des pays tiers. Les Prestations de 3DS OUTSCALE donnent au CLIENT la possibilité de stocker et traiter ses Données exclusivement à l’intérieur de la région EEE. 3DS OUTSCALE ne transférera en aucun cas les Données du CLIENT hors de leur Territoire. Néanmoins, 3DS OUTSCALE pourra mettre à la disposition du CLIENT des outils et cadres internationalement reconnus pour qu’il transfère lui-même ses données.

Avant tout transfert de ses Données Personnelles, le CLIENT, aidé de conseils spécialisés s’il ne dispose pas des compétences en interne, s’engage à vérifier que (i) les Spécifications des Prestations 3DS OUTSCALE applicables au Territoire où il entend transférer ses Données et (ii) la Législation sur les Données Personnelles applicable dans ce Territoire, sont conformes à ses besoins et contraintes, notamment en termes de sécurité.

11. Notification des violations. 3DS OUTSCALE met en œuvre une politique de gestion des incidents de sécurité prévoyant les procédures d’identification et de réponse aux incidents de sécurité dont 3DS OUTSCALE a connaissance. Si 3DS OUTSCALE a connaissance d’un accès non autorisé à des Données au sein de son Infrastructure, et si cet accès non autorisé entraîne des pertes, divulgations ou modifications de Données, engendrant des risques pour le Responsable du traitement, 3DS OUTSCALE le notifie au Responsable du traitement dans les plus brefs délais après en avoir pris connaissance (et au maximum dans les SOIXANTE-DOUZE [72] HEURES après en avoir pris connaissance), au moyen d’un courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du traitement si nécessaire de notifier cette violation à l’autorité de contrôle compétente. La notification décrira notamment la nature de l’atteinte, ses conséquences, les mesures prises par 3DS OUTSCALE en réponse à cet incident et elle indiquera un point de contact chez 3DS OUTSCALE. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

12. Conservation des Données Personnelles. Au terme de la Prestation de Services relatifs au traitement de ces Données Personnelles, 3DS OUTSCALE s’engage à supprimer toutes les Données du CLIENT. Une fois détruites, 3DS OUTSCALE pourra justifier par écrit de la destruction à la demande du CLIENT. Les Données ne pourront plus être récupérées par la suite.

Il est précisé que les Données que le CLIENT aura partagées, notamment par le biais de partage d’OMI ou d’images disques, avec d’autres CLIENTS, utilisateurs du Cloud, ne pourront pas être supprimées par 3DS OUTSCALE, tant qu’un autre client utilisera les données partagées, ce que le CLIENT reconnaît et accepte. Il appartient au CLIENT de ne pas partager d’informations confidentielles, de données personnelles, de données sensibles ou de données appartenant à des tiers.

3DS OUTSCALE, conformément à la réglementation pourra réaliser des traitements ultérieurs compatibles avec la finalité initiale du traitement. 3DS OUTSCALE pourra utiliser les informations à sa disposition pour réaliser des statistiques, pour améliorer ses Services ou pour orienter la recherche et l’innovation dans le domaine du Cloud Computing. Ainsi, dans ce but, certaines informations concernant le CLIENT pourront être traitées ce qu’il reconnaît et accepte.

13. Délégué à la protection des données. Le Délégué désigné par 3DS OUTSCALE est joignable à l’adresse suivante : xxxxxxx-xxxxxxxxxxxx@xxxxxxxx.xxx.

14. Registre des catégories d’activités de traitement. Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable du traitement.

15. Documentation et audit. Le Sous-Traitant met à la disposition du Responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu’il aura mandaté.

Le Responsable du traitement s’engage à documenter par écrit toute instruction concernant le traitement de Données Personnelles par le Sous-Traitant. Il veille au préalable et pendant toute la durée du traitement au respect des obligations prévues par le RGPD de la part du Sous-Traitant. Il supervise le traitement, y compris pour réaliser des audits et inspections auprès du Sous-Traitant.

14.2.2 – Lorsque 3DS OUTSCALE agit en qualité de Responsable du traitement

Afin de permettre la réalisation des Services qu’elle fournit, 3DS OUTSCALE traite également en qualité de Responsable du traitement certaines Données Personnelles du CLIENT.

Les finalités de ces traitements sont les suivantes :

▪ La gestion de la relation CLIENT (notamment la facturation, l’archivage, la téléphonie, la sécurité, l’amélioration des services, le recouvrement, l’assistance, la gestion commerciale, etc.). Les Données Personnelles traitées par 3DS OUTSCALE afin de gérer la relation CLIENT sont conservées par 3DS OUTSCALE pour la durée du Contrat liant le CLIENT et 3DS OUTSCALE. En cas de fin de ce contrat, ces Données seront conservées pour une durée supplémentaire de 1 (un) an.

▪ Le respect de certaines obligations légales (comptabilité, gestion des éventuels contentieux, etc.). Les Données Personnelles traitées par 3DS OUTSCALE afin de respecter ces obligations légales sont conservées conformément à la loi applicable.

3DS OUTSCALE s’engage à ne pas utiliser les Données Personnelles traitées à d’autres fins que celles mentionnées dans les présentes CGV. Toutefois, conformément à la réglementation, des traitements

ultérieurs compatibles avec la finalité initiale du traitement pourront être réalisés par 3DS OUTSCALE (notamment à des fins statistiques ou de recherches scientifiques), ce que le CLIENT reconnaît.

Conformément à la Loi Informatique et Libertés de 1978 modifiée, le CLIENT a un droit d’accès, de rectification, d’opposition ou de suppression des Données Personnelles le concernant. Le CLIENT peut exercer ses droits auprès du Délégué à la protection des données de 3DS OUTSCALE par courriel à l’adresse électronique suivante : xxxxxxx-xxxxxxxxxxxx@xxxxxxxx.xxx ; ou par courrier postal signé accompagné de la copie d’un titre d’identité à l’adresse suivante : 3DS OUTSCALE, à l’attention du Délégué à la protection des données, 0 xxx Xxxxxx, 00000 Xxxxx-Xxxxx. Une réponse sera apportée au CLIENT dans un délai de 30 jours suivant réception de la demande.

15 – Conditions Financières

15.1 – Principes généraux

▪ Le prix des Prestations est défini dans les Conditions Particulières ou à défaut le tarif public 3DS OUTSCALE affiché sur son site s’appliquera ;

▪ Les factures sont émises mensuellement à terme échu pour les Services consommés à la demande et à échoir pour certains Services (réservation de Machine Virtuelle, etc.). Néanmoins des factures intermédiaires pourront être émises dans le cas de consommation dépassant l’usage habituel ;

▪ Les factures sont payables comptant ;

▪ La facturation minimale mensuelle est d’une heure par type de Machine Virtuelle ou ressource utilisées même si la comptabilisation de l’utilisation se fait à la seconde ;

▪ Les factures peuvent être prélevées sur le compte bancaire du CLIENT ou son numéro de carte bancaire ;

▪ Les prix s’entendent hors taxe, la TVA et d’éventuelles autres taxes qui viendraient à s’appliquer étant en sus ;

▪ Les prix de toutes les Prestations est toujours susceptible de révision ;

▪ Le CLIENT accepte que 3DS OUTSCALE lui fasse parvenir ses factures par voie électronique ;

▪ Lorsque le CLIENT a déclaré plusieurs comptes bancaires rattachés à un ou plusieurs Contrats, les Factures de n’importe quel Contrat peuvent être prélevées sur n’importe quel compte bancaire.

15.2 – Fait générateur de la facturation

S’agissant de toutes les Prestations On Demand, il suffit que le CLIENT consomme une Prestation sur l’un de ses Comptes pour que le prix de celle-ci soit dû par le CLIENT et facturé par 3DS OUTSCALE au tarif en vigueur (lequel est affiché sur le site 3DS OUTSCALE : xxxxx://xx.xxxxxxxx.xxx/xxxxxx).

Le fait générateur de la facturation des autres Prestations est défini à leurs Conditions Particulières ou à défaut indiqué avec le tarif en vigueur.

15.3 – Paiement des factures

Le CLIENT est garant de la bonne fin des paiements des factures 3DS OUTSCALE à leur échéance ; à cet effet, il doit notamment maintenir ses coordonnées bancaires et de facturation à jour et une provision suffisante sur son compte bancaire (sur chacun de ses comptes bancaires si le CLIENT en a déclaré plusieurs), sauf à risquer une suspension des Prestations et le cas échéant la résiliation du Contrat. Le moyen de paiement par défaut est le prélèvement bancaire. Le CLIENT devra renvoyer le mandat de prélèvement dûment complété ainsi que le RIB du compte correspondant en même temps que le bon de commande (voir article « Formation du Contrat »).

En cas de retard de paiement, une indemnité forfaitaire pour frais de recouvrement d’un montant légal de 40 euros, prévue par l’article D.441-5 du code de commerce, sera due dès le premier jour de retard de paiement, le CLIENT étant un professionnel.

Des pénalités de retard seront aussi dues dès le premier jour de retard de paiement au prorata temporis au taux de base de la Banque Centrale Européenne (BCE) majoré de 10 points de pourcentage. Aucun escompte ne sera accordé en cas de règlement anticipé.

En sus de l’indemnité et des pénalités ci-dessus, tout retard de paiement du CLIENT pourra entraîner la résiliation du Contrat conformément à la procédure de l’article « Résiliation du Contrat en cas de manquement ».

À défaut de contestation d’une facture par le CLIENT, dans un délai de 30 (trente) jours après son émission, le CLIENT sera réputé l’avoir irrévocablement acceptée.

15.4 – Unités d’œuvres de facturation

Il existe trois unités d’œuvres, (1) la seconde indivisible, (2) le Gibibyte ou Gibioctet (GiB) et (3) le Gibibyte ou Gibioctet par mois, comme expliqué ci-dessous.

(1) Sauf disposition contraire prévue dans les Conditions Particulières, l’unité de facturation de base - notamment pour les licences, CPU, RAM, VPN - est la seconde indivisible. Toute consommation est facturée sur la base de la consommation arrondie à la seconde supérieure. Ainsi lorsque la consommation mensuelle d’un CLIENT s’élève à 4203,25 secondes, il est facturé 4204 secondes. Néanmoins, dans le cas où la consommation mensuelle d’un CLIENT serait inférieure à une heure sur un type de ressource, le CLIENT sera facturé d’une heure complète.

Toutefois, (2) il est précisé que le réseau est facturé au GiB (Gibibyte ou gibioctet) et (3) que le Stockage est facturé au GiB/mois.

16 – Confidentialité

3DS OUTSCALE et le CLIENT, dans le cadre des Prestations et plus généralement de leurs relations contractuelles, seront amenés à s’échanger des informations confidentielles leur appartenant, à savoir toutes les informations (i) qu’une Partie divulgue à l’autre Partie avec la mention « Confidentiel » ou

« Secret » ou avec d’autres marques ou signes qui indiquent la nature confidentielle des informations ; ou (ii) qui, en raison de leur caractère ou des circonstances de leur divulgation, seraient considérées comme confidentielles par une personne raisonnable dans une position et des circonstances similaires ; ou enfin (iii), ainsi que les informations contenues dans la Déclaration d’Applicabilité 3DS OUTSCALE et toutes celles qui concernent l’orchestrateur propriétaire de 3DS OUTSCALE, TINA OS.

Toutes les informations répondant aux conditions ci-avant, ci-après appelées les « Informations Confidentielles », seront confidentielles quelle que soit leur forme et leur nature – et notamment les informations techniques, commerciales, financières, etc. – leur support et leur mode de transmission, y compris évidemment les informations échangées par voie électronique.

3DS OUTSCALE et le CLIENT s’engagent :

▪ à ne communiquer les Informations Confidentielles à qui que ce soit sans autorisation écrite de la Partie les ayant divulguées,

▪ à prendre à l’égard de ces Informations Confidentielles, pour prévenir et empêcher leur divulgation, toutes mesures appropriées,

▪ à ne faire directement ou indirectement aucun autre usage de ces Informations Confidentielles que leur traitement dans le cadre des Prestations,

▪ à limiter la communication de ces Informations Confidentielles aux seuls membres du personnel ayant à en connaître dans le cadre des Prestations, à se porter fort pour eux du respect de ces engagements en tant que de besoin,

▪ aux termes des Prestations, ou le cas échéant à la cessation anticipée de celle-ci, à restituer promptement tous les éléments et documents constitutifs de ces Informations Confidentielles en leur possession et à n’en conserver ni copie, ni extrait, ni reproduction sous quelque forme que ce soit.

Les engagements ci-dessus dureront tant que lesdites Informations Confidentielles ne feront pas partie du domaine public, et, en tout état de cause, au moins pendant 5 (cinq) ans après la fin des Prestations.

Les obligations de confidentialité énoncées ci-dessus ne sont pas applicables à des informations : (i) qui étaient, au moment de leur divulgation, dans le domaine public, ou qui y sont tombées depuis sans faute de la Partie qui les a reçues ; (ii) qui étaient déjà connues de la Partie qui les a reçues au moment de leur divulgation et à condition qu’elle puisse le prouver ; (iii) qui ont été communiquées, à la Partie qui les a reçues, par un tiers qui n’était pas soumis à un engagement de confidentialité vis-à-vis de la Partie qui les a émises.

Par ailleurs, la présente clause de confidentialité n’interdit pas à 3DS OUTSCALE de citer le CLIENT en référence, ni au CLIENT de mentionner qu’il utilise les Prestations 3DS OUTSCALE dans les conditions de l’article « Propriété intellectuelle ».

17 - Contrôle des exportations

Le CLIENT s’engage à ne pas traiter, stocker ou télécharger sur son environnement de partage des informations ou des Données dont l’exportation est contrôlée, réglementée ou soumise à un permis ou une licence. Le CLIENT est réputé être l’exportateur des Données. De plus, le CLIENT s’assure que tous ses utilisateurs respectent également le précédent engagement.

18 – Récupération et effacement des Données‌

18.1 – Récupération de ses Données par le CLIENT s’il a accès à ses Données

Lorsque le Contrat est résilié, pour quelque raison que ce soit, et que l’initiative de la résiliation vienne du CLIENT ou de 3DS OUTSCALE, le CLIENT doit impérativement récupérer toutes ses Données hébergées chez 3DS OUTSCALE et les archiver ailleurs avant la date de résiliation effective.

En effet, à compter de cette date de résiliation effective (à minuit heure de Paris) : (i) le CLIENT n’aura plus accès à ses Données, et (ii) celles-ci seront irrévocablement effacées par 3DS OUTSCALE (à l’exception des données mentionnées au point 3 du présent article).

Par exemple, si la date de résiliation effective tombe un 3 mai, le CLIENT devra impérativement avoir récupéré toutes ses Données avant le 3 mai minuit heure de Paris, faute de quoi elles seront effacées et le CLIENT ne pourra plus jamais les récupérer.

Le fait que la date de résiliation effective ne tombe pas un jour ouvré n’a pas pour effet de la décaler.

18.2 – Récupération de ses Données par le CLIENT s’il n’a pas accès à ses Données Lorsque le Contrat est résilié, pour quelque raison que ce soit, et que l’initiative de la résiliation vienne du CLIENT ou de 3DS OUTSCALE : le CLIENT, s’il veut conserver ses Données et qu’il n’a plus accès à ses ressources (telles que Machines Virtuelles, Service de Stockage Objet, etc.) et donc ne peut pas les récupérer lui-même, doit impérativement commander à 3DS OUTSCALE une Prestation de récupération des Données avant la date de résiliation effective.

Le CLIENT ne peut pas commander cette Prestation de récupération de Données s’il n’est pas à jour de ses factures 3DS OUTSCALE. Le CLIENT doit donc impérativement régler à 3DS OUTSCALE toutes les sommes dont il est débiteur avant la date de résiliation effective.

La commande de Prestation de récupération de Données se fait par mail au « Service client » 3DS OUTSCALE qui émet un devis. Si le CLIENT accepte le devis, les Données du CLIENT sont récupérées par 3DS OUTSCALE, puis transmises au CLIENT dès le paiement du prix de la Prestation de récupération des Données.

À compter de la date de résiliation effective (à minuit heure de Paris) les Données du CLIENT seront irrévocablement effacées (à l’exception des données mentionnées au point 3 du présent article) et ce que le CLIENT ait souscrit une Prestation de récupération des Données ou non.

Par exemple, si la date de résiliation effective tombe un 3 mai, le CLIENT devra impérativement avoir commandé la Prestation de récupération de ses Données avant le 3 mai minuit heure de Paris, faute de quoi elles seront effacées et le CLIENT ne pourra plus jamais les récupérer.

Le fait que la date de résiliation effective ne tombe pas un jour ouvré n’a pas pour effet de la décaler.

18.3 – Effacement des données

En cas de résiliation du Contrat, pour quelque cause que ce soit, les Données du CLIENT seront effacées comme indiqué aux points 1 et 2 du présent article, à l’exception des données d’identification mentionnées au décret n°2011-219 du 25 février 2011 qui sont conservées dans les conditions et délais prévus au décret.

La désactivation d’un compte CLIENT est réalisée manuellement par 3DS OUTSCALE, mais l’effacement des Données du CLIENT est géré par le système d’exploitation du Cloud de 3DS OUTSCALE, Logiciel TINA OS opéré par 3DS OUTSCALE, de manière automatique. En effet, dès la désactivation d’un compte, les données restent accessibles pendant 30 jours. La désactivation est temporaire. Sans aucune intervention, tous les comptes à l’état inactif passent à l’état terminé dans le délai de 30 jours. L’attestation du bon effacement des Données pourra être communiquée au CLIENT s’il en fait la demande à 3DS OUTSCALE.

Toutefois, le CLIENT est informé et reconnaît que 3DS OUTSCALE n’est pas en mesure de procéder à la suppression exhaustive des Données que le CLIENT aura partagées avec d’autres CLIENTS, notamment par le biais de partage d’OMI ou d’images disques, tant qu’un autre CLIENT utilisera les données partagées et qu’il appartient au CLIENT de ne pas partager d’informations confidentielles, sensibles ou appartenant à des tiers ni en aucun cas des Données Personnelles.

Le CLIENT garantit 3DS OUTSCALE et la tiendrait couverte de toute condamnation, quel qu’en soit le fondement, suite à une violation par le CLIENT de cette interdiction de partager des Données Personnelles.

De plus, il est précisé que certaines Données du CLIENT et notamment les données de facturation et identifications associées seront conservées en raison des obligations légales auxquelles 3DS OUTSCALE doit se soumettre pour une durée pouvant aller jusqu’à 10 (dix) ans.

19 – Support technique‌

Le CLIENT peut faire une demande de Support en utilisant :

▪ L’interface Web de support de 3DS OUTSCALE : xxxxx://xxxxxxx.xxxxxxxx.xxx (inscription préalable requise),

▪ L’adresse email : xxxxxxx@xxxxxxxx.xxx,

▪ Le numéro de téléphone : 0000 000 000 depuis la France, x00 000000000 depuis tout autre pays.

Le support est disponible 24h/24, 7j/7 par téléphone et par courrier électronique.

Une fois que la demande est faite, le CLIENT reçoit un numéro de ticket. Le CLIENT doit utiliser ce numéro de ticket dans tous ses échanges avec le support client et conserver l’objet dans tous ses échanges par email afin de permettre un suivi efficace de sa demande et de sa résolution.

La procédure détaillée associée au support est décrite sur le Wiki OUTSCALE xxxx.xxxxxxxx.xxx.

Les SLA associés au support sont décrits à l’annexe A du présent document.

20 – Maintenance

Pour maintenir l’infrastructure Cloud à jour et garantir la bonne qualité des services, des maintenances matérielles sur les hyperviseurs sont régulièrement planifiées par 3DS OUTSCALE sur les différentes Régions.

Deux semaines avant la maintenance, un email est automatiquement envoyé aux CLIENTS concernés avec la liste de leurs Machines Virtuelles impactées. Si le CLIENT n’a pas stoppé ces Machines Virtuelles au moment des opérations de maintenance, elles seront stoppées de manière forcée, ce qui peut endommager les applications du CLIENT.

3DS OUTSCALE peut aussi être amenée à faire des maintenances urgentes, en ce cas elle fait ses meilleurs efforts pour prévenir le CLIENT le plus tôt possible.

21 – Sécurité

21.1 – Connexion sécurisée

3DS OUTSCALE fournit au CLIENT des informations documentées sur la gestion des utilisateurs ou des groupes d’utilisateurs, permettant au CLIENT d’accorder des autorisations à ses utilisateurs ou aux groupes qu’il constitue.

Le CLIENT s’engage à sécuriser les accès de ses utilisateurs à l’aide des moyens qui sont mis à sa disposition par 3DS OUTSCALE. Le CLIENT est seul responsable de la sécurité de ses accès utilisateurs.

21.2 – Contrôles cryptographiques

Les API et interfaces de 3DS OUTSCALE sont maintenues conformes à l’état de l’art en matière de cryptographie.

3DS OUTSCALE utilise les contrôles suivants : IPSEC, TLS, SSH.

De plus, 3DS OUTSCALE s’engage à prendre en considération les recommandations faites dans les guides publiés par l’Agence Nationale de la Sécurité des Systèmes d’Information [ANSSI].

21.3 – Failles de sécurité

3DS OUTSCALE met à la disposition du CLIENT une procédure lui permettant de signaler tout incident de sécurité, avéré ou suspecté et toute faille de sécurité accessible ici xxxxx://xx.xxxxxxxx.xxx/xxxxxxxxxxx-xxx-xxxxxxxxxxxxxx/.

21.4 – Organisation

Les fiches de fonction des responsables en charge de la sécurité de l’information et de l’utilisation du service de Cloud computing de 3DS OUTSCALE pourront, à la demande du CLIENT, lui être transmises après signature d’un accord de confidentialité.

22 – Réversibilité des Prestations

De convention expresse, les Prestations ne comprennent pas d’obligation de Réversibilité [à savoir, l’aide au CLIENT pour qu’il puisse migrer son Système vers un autre prestataire].

Le CLIENT – seul maître de son Système – doit donc tout mettre en œuvre pour faciliter cette opération en tant que de besoin [ce qui implique, notamment, qu’il mette en place une documentation rigoureuse à cet effet] et l’élaboration de plans de Réversibilité.

Toutefois, 3DS OUTSCALE peut proposer une mission de conseil à cet égard dans le cadre d’un contrat spécifique à négocier.

23 – Validité des moyens électroniques pour les notifications émises dans le cadre du Contrat‌

Toutes les notifications émises dans le cadre du Contrat, et notamment les mises en demeure et relances du CLIENT, seront faites par 3DS OUTSCALE par simple email.

L’heure et la date du serveur d’envoi de mail 3DS OUTSCALE feront foi entre le CLIENT et 3DS OUTSCALE.

Il est entendu que le CLIENT, quel que soit son statut – étant rappelé que les consommateurs ne doivent pas utiliser les Prestations 3DS OUTSCALE – accepte l’usage de l’email ainsi que les autres moyens par voie électronique comme moyen de notification.

Si le CLIENT n’accepte pas l’email comme moyen de notification dans le cadre du Contrat, il doit refuser les présentes CGV et ne pas conclure de Contrat avec 3DS OUTSCALE.

Les notifications seront adressées à l’email communiqué par le CLIENT lors de la création de son Compte et qui sert d’identifiant à ce Compte.

24 – Interprétation des SLA

Si un engagement contractuel de Qualité de Service est élevé/faible [par exemple : un engagement de disponibilité de 99,99999 %], il en résultera que l’écart entre cet engagement contractuel et l’engagement maximum/minimum théoriquement possible [dans l’exemple 100 %] sera minime.

Néanmoins, il ne faudra en aucun cas procéder à un arrondi de l’engagement contractuel, et il y aura lieu de s’en tenir à la valeur telle qu’elle est littéralement mentionnée dans le Contrat [dans l’exemple : 99,99999 %], celle-ci correspondant à la commune intention de 3DS OUTSCALE et du CLIENT.

Étant précisé, que tous les systèmes modernes [tableurs, calculatrices, etc.] disposent d’une précision de calcul suffisante pour l’application de la présente règle d’interprétation.

25 – Limites et contraintes liés aux Services Bêtas

Les stipulations du présent article, lorsqu’elles contredisent une ou plusieurs autres stipulations des CGV, prévalent toujours sur elles concernant les Services Bêtas. Ils sont susceptibles d’être modifiés, suspendus ou définitivement interrompus par 3DS OUTSCALE, sans préavis ni indemnités. Il incombe par conséquent au CLIENT de réaliser de fréquentes sauvegardes de ses Données.

Les Services Bêtas sont fournis « TELS QUELS », par conséquent :

1) 3DS OUTSCALE ne garantit aucun niveau de Qualité de Service sur un Service Bêta et donc ne saurait verser quelque pénalité ni accorder des crédits de services ou avoirs en cas de dysfonctionnement d’un tel Service,

2) 3DS OUTSCALE, dans les limites autorisées par la loi applicable, exclut l’application de toute garantie, y compris les garanties implicites de jouissance paisible, de qualité marchande et d’adéquation à une finalité déterminée,

3) 3DS OUTSCALE n’assume aucune responsabilité de quelque nature que ce soit en cas de préjudice du CLIENT lié à l’utilisation d’un Service Bêta. Si, en dépit de cette clause, la responsabilité de 3DS OUTSCALE devait être engagée au titre d’un Service Bêta, celle-ci serait

limitée, sauf en cas d’atteinte à l’intégrité physique des personnes, à une somme globale, forfaitaire et définitive dont le montant ne saurait excéder 350 (trois cent cinquante) euros par CLIENT,

4) 3DS OUTSCALE (i) recommande au CLIENT de ne pas utiliser le Service Bêta dans un environnement de production et (ii) interdit tout utilisation d’un Service Bêta qui le ferait interagir avec des systèmes de contrôle d’installations industrielles et tous les systèmes susceptibles de causer des atteintes à l’intégrité physique des personnes.

Le fait qu’un retour d’expérience du CLIENT permette à 3DS OUTSCALE d’améliorer un Service Bêta ne confère jamais aucun droit de propriété intellectuelle ou industrielle ou de quelque autre nature que ce soit au CLIENT.

26 – Convention de preuve

En cas de litige sur l’une des prestations réalisées par 3DS OUTSCALE dans le cadre des présentes, les Parties conviennent que la production par 3DS OUTSCALE des données enregistrées sur les systèmes de 3DS OUTSCALE fait foi entre le CLIENT et 3DS OUTSCALE.

27 – Langue du Contrat

Les présentes CGV existent en langue française et anglaise, en cas de contradiction la version française prévaut en tout état de cause.

28 – Tribunal compétent / Loi applicable

Nonobstant pluralité de défendeurs, appel en garantie, ou référé, tous les éventuels litiges sur la formation, l’interprétation ou l’exécution des présentes CGV et des Contrats sont soumis aux juridictions compétentes du ressort de la Cour d’appel de Versailles, exclusivement compétentes y compris en référé, nonobstant appel en garantie ou pluralité de défendeurs et au droit français.

ANNEXE A : Service Level Agreement (SLA)‌

Les SLAs ne sont parfois applicables qu’à condition que le CLIENT déploie ses Systèmes sur toutes les Zones de disponibilité qui existent dans la Région. Dans le cas où, alors que c’est possible, le CLIENT décide de ne pas déployer dans toutes les Zones de disponibilité de la Région, il ne pourra pas demander l’application du SLA. Ces SLAs sont marqués d’une étoile (*).

Cette limitation ne concerne ni les APIs fournies par 3DS OUTSCALE, ni l’Infrastructure mise en place et infogérée par 3DS OUTSCALE et donc de la responsabilité de 3 DS OUTSCALE. Pour ces dernières, les SLAs s’appliquent en général quel que soit le type de déploiement choisi par le CLIENT.

Ces garanties permettent à 3DS OUTSCALE de s’engager sur les SLA suivants sur une base 24h/24 et 7j/7 :

SLA1 – Prestation : « Service de stockage Objets »

▪ La Durabilité du stockage d’un Objet sur une Région considérée est garantie à 99,9999999999%* par an si ces objets sont distribués sur l’ensemble des Zones de disponibilité qui existent dans la Région considérée,

▪ La Disponibilité de l’API fournie par 3DS OUTSCALE et permettant de publier et manipuler les objets du CLIENT par ce dernier est de 99,97 % par an,

▪ La Disponibilité des APIs fournies par 3DS OUTSCALE et permettant à des utilisateurs divers d’accéder aux objets stockés est de 99,99%* par an pour les objets déployés sur une Région.

Cette Durabilité s’entend sous réserve d’une utilisation dans l’état de l’art des Prestations et en dehors de toute altération de données volontaire ou non ayant pour origine une action du CLIENT. Elle est notamment applicable que dans le cas où le CLIENT utilise toutes les Zones de disponibilité existant dans la région.

Le stockage Objet, comme son nom l’indique, ne doit pas être utilisé en mode bloc (par exemple pour une base de données en activité). L’utilisation d’un stockage Objet en mode bloc via des moyens techniques de contournement (par exemple FUSE sous Linux), n’est pas une utilisation dans l’état de l’art du stockage Objet et tout incident lié à cette utilisation ne sera pas couverte par le présent SLA.

SLA2 – Prestation : « Service de stockage persistant »

▪ La disponibilité d’un volume est garantie à 99,7% par mois. Par défaut un volume n’est disponible que sur sa Zone de disponibilité d’origine,

▪ La disponibilité d’un Snapshot est de 99,7% par mois. Un Snapshot est disponible sur toute la Région,

▪ La Durabilité d’un Snapshot est égale à celle d’un objet du stockage Objet.

▪ Pour les Machines Virtuelles à IOPS garantie, 3DS OUTSCALE s’engage à fournir le nombre d’IOPS souscrits, pour des blocs de 4 ko, au moins 90% du temps sur un mois.

La Durabilité d’un volume n’est pas garantie, car c’est un stockage en mode bloc actif qui peut être impacté par tout problème d’arrêt de service impromptu. Par exemple, le crash d’un élément physique de l’Infrastructure de 3DS OUTSCALE peut entraîner l’arrêt d’une ressource type Machine Virtuelle et la corruption d’un volume de stockage persistant qui a été brutalement arrêté dans un état non cohérent. De même, une commande « terminate » ou « force-stop », peut causer l’arrêt brutal de la ressource Machine Virtuelle et donc corrompre les ressources volumes attachées.

La responsabilité de 3DS OUTSCALE ne peut jamais être engagée sur les problèmes de cohérence concernant les volumes ; c’est au CLIENT de s’assurer qu’il a bien réalisé toutes les sauvegardes nécessaires afin de pérenniser ses données et qu’il a mis en place des architectures à l’état de l’art pour pouvoir retrouver un état cohérent de ses volumes.

SLA3 – Prestation « Service de stockage non persistant »

Le Service de stockage non persistant ne dispose d’absolument AUCUNE garantie. 3DS OUTSCALE informe le CLIENT que le Service peut s’arrêter ou dysfonctionner à tout moment, et que c’est au CLIENT de redémarrer sa ressource Machine Virtuelle dans le cas où le défaut de ce Service a un impact sur sa disponibilité.

Ce Service ne doit être utilisé que pour des cas précis comme emplacement de stockage temporaire et non critique et surtout pas pour des données comme celles de production à conserver qui doivent être stockées sur d’autres types de stockage plus durable.

SLA4 – Prestation « Service de fourniture de Machines Virtuelles à la carte »

▪ La Disponibilité individuelle d’une Zone de disponibilité est de 99,7% par mois,

▪ La Disponibilité individuelle d’un élément matériel de l’Infrastructure est de 99,8% par mois,

▪ La Disponibilité d’une ressource (Machine Virtuelle, etc.) est de 99,8%* par mois,

▪ La Disponibilité du Service d’API de commande est de 99,9% par mois.

Dans le cas où un élément matériel de l’Infrastructure de 3DS OUTSCALE provoque l’arrêt d’une ressource du CLIENT, par exemple l’arrêt d’un serveur physique de 3DS OUTSCALE provoquant l’arrêt d’une Machine Virtuelle du CLIENT, par défaut la ressource du CLIENT est dans un état « stoppé » afin d’éviter que son redémarrage ne provoque des dégâts supplémentaires (perte de données, corruption, etc.). Il est de la responsabilité du CLIENT de superviser ses ressources et de les redémarrer si besoin. Le temps nécessaire au CLIENT pour réaliser cela ne rentre pas dans le calcul de l’indisponibilité d’une ressource.

Le temps à comptabiliser dans l’indisponibilité d’une ressource est le temps pendant lequel suite à l’arrêt de la ressource, le CLIENT est dans l’impossibilité de la redémarrer.

De plus pour que ce SLA s’applique, il faudra que le CLIENT prouve que des ressources équivalentes à la ressource en défaut ont bien été déployées sur toutes les Zones de disponibilité de la Région et que le Service n’a malgré tout pas pu être rendu du fait de 3DS OUTSCALE.

3 DS OUTSCALE informe de plus le CLIENT que toute utilisation anormale de son Infrastructure et notamment en cas de surcharge de ses APIs de commande (hammering), des contre-mesures de sécurité pourront s’activer automatiquement et bloquer l’accès aux APIs de commande ou à certaines Prestations 3DS OUTSCALE. Dans ce cas, il ne s’agit pas d’une indisponibilité, mais d’une procédure de sauvegarde de l’Infrastructure de 3DS OUTSCALE, et le CLIENT ne pourra comptabiliser cela en indisponibilité.

Enfin 3DS OUTSCALE informe le CLIENT que les requêtes parfaitement identiques (duplicate) vers ses API sont limitées à une par seconde (Throttling). Le fait que le CLIENT verrait des requêtes identiques présentées à l’API à une fréquence supérieure et refusées à ce titre, ne saurait être comptabilisé en indisponibilité.

SLA5 – Prestation « Service de fourniture réseau sécurisé vers Internet »

3DS OUTSCALE est à l’état de l’art en ce qui concerne ses connexions via Internet. Il utilise notamment plusieurs fournisseurs d’accès et le protocole BGP4 pour assurer une redondance. Ce protocole peut entraîner des changements de routes intempestifs indépendants de la volonté de 3DS OUTSCALE, mais qui en général permettent de garantir une disponibilité de l’accès.

En cas d’incident, les premières 2 minutes ne sont jamais prises en compte, car le temps de convergence du protocole BGP4 est de 90 secondes. Le calcul de disponibilité enlèvera donc 2 minutes par incident.

▪ Disponibilité de l’accès Internet : 99,999%* par an

En cas de cyber attaque, notamment en cas d’attaque en déni de service distribué (DDoS), 3DS OUTSCALE pourra modifier sa configuration de routage Internet pour mitiger au maximum cette attaque et protéger son Infrastructure. Si c’est une IP du CLIENT qui est visée par l’attaque, 3DS OUTSCALE pourra utiliser la communauté BGP de type « blackhole » pour interdire en amont de ses fournisseurs tout trafic vers l’IP attaquée afin de protéger les autres ressources du CLIENT, mais aussi des autres clients de 3DS OUTSCALE ainsi que son Infrastructure.

3DS OUTSCALE protège ses infrastructures via plusieurs couches de Firewall à l’état de l’art et ses applications, y compris ses APIs via des WAF (Firewalls applicatifs).

3DS OUTSCALE incite le CLIENT à faire de même, notamment en utilisant des OMIs WAF, disponibles auprès de 3DS OUTSCALE, mais aussi via la configuration des groupes de sécurité via l’API de commande. 3DS OUTSCALE par défaut filtre tout trafic entrant vers les IPs publiques du CLIENT et c’est le CLIENT qui ouvre les flux dont il a besoin. 3DS OUTSCALE insiste pour que le CLIENT ouvre ses flux a minima et notamment n’ouvre pas les flux d’administration SSH (port TCP 22) et RDP (port TCP 3389) à l’ensemble de l’Internet (subnet 0.0.0.0/0), ainsi que les protocoles internes comme SMB (port TCP/UDP 445) ou NFS (port TCP/UDP 2049).

▪ Disponibilité des firewalls virtuels en charge des groupes de sécurité : 99,8% par mois,

▪ Disponibilité du Service d’API de commande : 99,9% par mois.

SLA6 – Prestation « Service de fourniture réseau intra Cloud »

Le réseau intra Cloud est sécurisé au même titre que le réseau en provenance d’Internet via les groupes de sécurité. Le CLIENT est averti que s’il décide de passer outre les groupes de sécurité via l’API de commande pour ses ressources internes, la configuration des groupes de sécurité ne SERA PAS appliquée.

La latence dans le réseau interne dépend de nombreux paramètres, notamment de la proximité des Zones de disponibilité. La redondance d’une Région est un équilibre entre l’écartement géographique des Zones de disponibilité et la latence maximale supportable par les applications multi Zones.

▪ Disponibilité du réseau interne : 99,99 % par an,

▪ Latence maximale inter ressource (hors stockage Objet) : 10 ms,

▪ Latence maximale vers ou depuis le stockage Objet : 200 ms.

SLA7 – Prestation « Service de fourniture de Services Internet (DNS, NTP) et de Service métadonnées du Cloud »

Le CLIENT est informé par 3DS OUTSCALE que ses Systèmes sont protégés contre leur utilisation intensive pouvant mener au déni de service. Toute activation automatique de contre mesure due à une utilisation abusive du CLIENT et entraînant une indisponibilité de Service pour ce dernier ne pourra être comptabilisée comme telle.

▪ Disponibilité des Services DNS, NTP, DHCP : 99,8% par mois

▪ Disponibilité des Services métadonnées : 99,8% par mois

SLA8 – Prestation « Service de répartition de charge à la demande »

▪ Disponibilité des load balancers virtuels : 99,8% par mois,

▪ Disponibilité du Service d’API de commande : 99,9% par mois.

SLA9 – Support

Le support de base gratuit a un SLA de 12 HEURES (pendant les heures ouvrées françaises). Le SLA est mesuré entre l’ouverture du ticket avec l’ensemble des informations obligatoires et la réponse du support. Les délais pris par le client pour répondre à une question du support technique ne sont pas comptés dans le temps de réponse du SLA.

Il est précisé qu’un support plus complet peut être souscrit par le CLIENT par le biais d’un contrat spécifique.

ANNEXE B : Pénalités associées aux SLAs de l’ANNEXE A‌

Les pénalités sont calculées suivant la formule suivante :

Ps= (Sc – Sg)*10*CAcm

Ps : Pénalité du Service considéré

Sc : Disponibilité constatée du Service considéré sur la période de calcul

Sg : Disponibilité promise par SLA du Service considéré sur la période de calcul CAcm : Chiffre d’Affaires mensuel moyen généré par le CLIENT sur un an glissant

S’il y a plusieurs infractions des SLAs, les Pénalités se cumulent. La Pénalité totale ne pourra jamais excéder la valeur CAcm.

Exemple de calcul :

Soit un CLIENT utilisant 3 Services 3DS OUTSCALE. Le Service de stockage Objet, le Service de fourniture de Machines Virtuelles à la Carte et le Service de répartition de charge à la demande. On définit :

S1 : La Disponibilité des APIs fournies par 3DS OUTSCALE et permettant à des utilisateurs divers d’accès aux objets stockés

S2 : La Disponibilité du Service d’API de commande des Machines Virtuelles à la Carte S3 : La Disponibilité des load-balancers virtuels

Prenons par exemple :

▪ S1c = 97,9% alors que S1g = 99,99%

▪ S2c = 99,95% alors que S2g = 99,9%

▪ S3c = 98,5% alors que S3g = 99,8%

S2c > S2g, donc le Service est bien rendu dans le cadre du SLA. Seuls S1c & S3c sont inférieurs aux SLAs.

Soit une facturation mensuelle moyenne calculée sur l’année glissante de 10.000 euros HT. Le crédit calculé sera donc de :

P = (99,99%-97,9%)*10*10000+(99,8%-98,5%)*10*10000

P= 3390 Euros.

Autres conditions contractuelles 3DS OUTSCALE (hors périmètre CISPE®)

Les différentes conditions d’utilisation ou de fourniture ci-dessous sont applicables à des Prestations spécifiques de 3DS OUTSCALE qui n’entrent pas dans le périmètre du CISPE®.

Ces Services sont soumis aux conditions ci-dessous ainsi qu’aux Conditions Générales de Vente 3DS OUTSCALE CGV 2019-07, en cas de contradiction entre les CGV et les conditions ci-dessous, ces dernières l’emportent.

Conditions de fourniture des Services Professionnels

Les Services Professionnels fournis par 3DS OUTSCALE donneront lieu à une rémunération selon les prix expressément visés dans la Proposition de Services Professionnels et son Bon de Commande. En cas d’intervention en mode régie, la facturation mensuelle reposera sur le relevé des prestations signé des Parties.

À défaut d’indication dans la Proposition, les Services Professionnels sont payables avec un acompte de trente pour cent (30%) lors de la commande du CLIENT, ils sont ensuite payables au prorata de leur avancement (sur une base de 50 % de leur prix), avec le solde de 20 % à la recette du Projet. La mise en production des résultats du Projet par le CLIENT vaut recette de celui-ci.

À la signature du Bon de Commande, le CLIENT remet à 3DS OUTSCALE un relevé d’identité bancaire ou postal et signe l’autorisation de prélèvement sur son compte bancaire ou postal, afin que 3DS OUTSCALE puisse effectuer les prélèvements dus aux échéances au titre des Services Professionnels selon les modalités prévues par la Proposition de Services Professionnels et son Bon de Commande.