Accord de confidentialité entre institution et sous-traitant
Accord de confidentialité entre institution et sous-traitant
ACCORD DE CONFIDENTIALITE ET DE NON-DIVULGATION
Entre
Le SPF Santé Publique, Sécurité de la Chaîne Alimentaire et Environnement, sis place Xxxxxx Xxxxx, 40 B 10 à Bruxelles (1060)
ci-après dénommé "le SPF", d'une part,
et
ci-après dénommé "le sous-traitant", d'autre part,
Ci-après dénommées les Parties
J:\u02\documents à actualiser DWH MT&PS\Accord_confidentialité_exemple_fr.doc - 10/02/2012
PREAMBULE
Attendu que le SPF et le sous-traitant entretiennent des négociations mutuelles afin de conduire un projet ayant pour objet l'étude de / le développement de / la mise en place de
………………………………………….. (ci-après le "Projet"), dans le cadre du programme de R&D/ de la directive / de la loi de la Communauté Européenne,
Attendu que la coordination de ce Projet sera assurée par le SPF, le chef de projet étant M./Mme/
…….. du SPF,
Attendu que les Parties, pour leur bénéfice mutuel et leur intérêt, sont désireuses d’échanger des informations liées au seul développement du Projet. Dans ce but, il est nécessaire pour chacune des Parties de révéler à l’autre certaines informations d’ordre scientifique, technique, financière ou autre, dont elle est propriétaire.
Les Parties proposent par les présentes dispositions que la transmission de telles informations soit faite dans les conditions définies ci-après ("l’Accord").
Il a été convenu et arrêté ce qui suit :
Article 1 :
"L'Information Confidentielle" signifie, sans restriction, toute information transmise, sous quelque forme que se soit, par une Partie à l’autre, dans le cadre du présent Accord avec pour finalité la réalisation du Projet mentionné en préambule.
L’Information Confidentielle ne s’étend pas à une information qui :
(a) était connue loyalement et licitement de l’Utilisateur au moment de sa mise à disposition, auquel cas ce dernier devra en apporter la preuve,
(b) au moment de sa transmission était ou est tombée dans le domaine public en l’absence de toute violation du présent Accord,
(c) a été portée à la connaissance de l’Utilisateur et qualifiée par une mention explicite de non- confidentialité.
Le terme "Propriétaire" désigne la partie qui fournit de l’Information Confidentielle dans de cadre du Projet.
"Utilisateur" désigne la partie recevant l’Information Confidentielle nécessaire à l’exécution du Projet, transmise par son Propriétaire.
Article 2 :
L’Information Confidentielle fournie par l’une des Parties (Propriétaire) à l’autre sera considérée comme confidentielle par la Partie qui la reçoit et ne sera pas utilisée pour un projet autre que celui visé en préambule, ni divulguée à un tiers au Projet.
Toute communication d’Information Confidentielle par l’Utilisateur à un fournisseur, un sous- traitant ou tout autre tiers concerné par le Projet, devra faire l’objet d’un accord écrit préalable du Propriétaire.
Toute Partie recevant une telle Information Confidentielle qui l’utilisera ou la divulguera en violation du présent Accord, devra indemniser son Propriétaire pour toute perte ou dommage directs ou indirects en résultant.
Article 3 :
Des dispositions particulières de mise en place ou de contrôle de moyens de sécurisation de l’information peuvent être exigées de la part du Propriétaire envers l’Utilisateur. Celles–ci font l’objet d’une annexe précisant les outils et techniques, les motivations de ces demandes et les niveaux de sécurité exigés.
Un délégué mandaté par le Propriétaire a dans ce cas le droit de visite auprès des instances concernées afin de vérifier la bonne mise en œuvre du présent Accord.
Le cas échéant, la partie dont la sécurité est jugée déficiente fera diligence dans l’application des mesures de protection de l’Information Confidentielle.
Article 4 :
L’obligation de confidentialité et de non-divulgation contenue dans les présentes sera maintenue (*) indéfiniment (*) pendant une période de (*) une (1) (*), trois (3) ou (*) cinq (5) année(s) à compter de la date (*) de prise de connaissance par l’Utilisateur (*) de fin du Projet, et ce quelle que soit l’issue donnée au Projet.
L’Utilisateur devra (*) restituer (*) détruire l’Information Confidentielle immédiatement après la fin du Projet ou la demande expresse du Propriétaire.
Article 5 :
Le droit de propriété intellectuelle sur toutes les Informations confidentielles que les Parties se divulguent entre elles au titre du présent Accord appartient, sous réserve des droits des tiers, au Propriétaire. Toute Information Confidentielle transmise conformément au présent Accord devra être retournée à son Propriétaire, à sa demande, dans un délai (*) raisonnablement court (*) de 30 jours calendrier.
Article 6 :
Sous-réserve des obligations de confidentialité ou de non-divulgation mentionnées ci-dessus, le présent Accord ne restreint en aucun cas la capacité de chaque partie d'entrer en relation ou de travailler avec une quelconque tierce partie.
Article 7 :
Les parties reconnaissent que rien dans le présent Accord ne doit être interprété comme constituant une cession d’un droit de propriété intellectuelle ou licence se rapportant à, ou découlant de, l’Information Confidentielle. En particulier, le Propriétaire reconnaît qu’aucune licence n’est accordée en vertu du présent Accord, ni directement ni indirectement, aux termes d’un brevet, d’un secret de commerce, d’une marque de commerce ou d’un droit d’auteur.
Article 8 :
Dans le cadre de fusions ou d’acquisitions d’entreprises, le présent Accord reste valide et doit être exécuté par le repreneur des parties concernées.
Article 9 :
Le présent Accord est régi par le droit belge. Tout litige portant sur l'exécution ou l'interprétation du présent Accord devra faire l'objet d'une conciliation préalable. Si un règlement s'avère impossible, le litige sera soumis aux juridictions du domicile du défendeur.
Article 10 :
Les signataires du présent Accord garantissent qu'ils ont toute autorité pour conclure le présent Accord au nom de leur société ou institution.
Article 11 :
Le présent Accord est rédigé en Français. Tous les documents, notifications et réunions liés à son exécution seront en Néerlandais ou en Français, ou, pour les documents à portée technique, en Anglais.
Fait en deux exemplaires originaux, chaque partie reconnaît en avoir reçu une copie dûment signée. A …………… , le …………
SPF Santé Publique, Sécurité de le Sous-Traitant la Chaîne Alimentaire et Environnement
Représenté par Représenté par
Nom fonctionnaire dirigeant Nom représentant
grade Titre
Annexe à l’accord de confidentialité et de non- divulgation : règles de sécurité auxquelles le sous- traitant devrait satisfaire.
Règles globales de sécurité.
➢ Le sous-traitant est tenu de conclure un accord de confidentialité et de non divulgation avec le propriétaire des données, et de prendre des mesures organisationnelles pour sensibiliser et responsabiliser son personnel.
➢ Pour ce faire, le sous-traitant fait signer aux membres de sont personnel une charte dans laquelle ils déclarent :
o avoir pris connaissance des articles … (références légales traitant de la sécurité des données traités dans le Projet, par exemple : articles 9.9, 118.2, 119 et 120 du Règlement 1907/2006/CE REACH) et
o qu’ils vont exercer la plus grande discrétion en ce qui concerne les informations confidentielles dont ils prennent connaissance dans le cadre de leurs fonctions, à vie
➢ Une méthodologie d’analyse et de gestion des risques devrait être implémentée
➢ Une procédure de gestion des incidents devrait exister dans l’entreprise, comprenant les facilités de mise à disposition du personnel nécessaire au fonctionnement de l’Incident Response Team (IRT).
➢ La documentation de sécurité doit être révisée périodiquement (plan de sécurité, polices et procédures)
➢ L’institution doit informer et former son personnel aux aspects de la sécurité de l’information, spécialement le conseiller en sécurité.
Sécurité de l’environnement
➢ Les données et systèmes devraient être inventoriés ;
➢ Une classification (documentation et processus) reprenant au moins les critères de confidentialité, intégrité et disponibilité devrait être réalisée sur tous les objets inventoriés ;
➢ Les mesures de sécurité physiques, logiques et organisationnelles devraient être appliquées conformément à la classification de référence. Ceci inclut les locaux de travail, de stockage, le démantèlement de matériel, …
Sécurité du réseau
➢ Les mesures techniques et organisationnelles appliquées suivent le principe de la ‘defence in depth’ : les firewalls, proxies, routeurs et DMZ, serveurs, applications et DB sont des éléments qui sont tous sécurisés à chacune de leurs couches logiques ou physiques.
Sécurisation logique des accès
➢ L’information confidentielle ne peut être accessible que pour les personnes ou institutions autorisées, selon les critères définis dans le document de classification et selon les principes de finalité et de proportionnalité (ou ‘need to know’).
➢ Le sous-traitant tient les listes de son personnel habilité à traiter ou accéder à ces données. Toute modification de cette liste est communiquée sans délai.
Journalisation
➢ Il doit toujours être possible de retracer les accès frauduleux et d’identifier les auteurs d’infractions à la sécurité.
➢ Les accès physiques et logiques, selon l’opportunité, doivent être journalisés (qui, quoi, quand, comment)
➢ Le sous-traitant est responsable de la journalisation des événements dont il a la gestion, il doit mettre en place les moyens de journalisation nécessaires à l’identification de l’utilisateur. Un lien entre le responsable de l’action et l’accès aux informations doit pouvoir être établi.
➢ Le document de classification devrait définir, en fonction de la nature (et donc de la sensibilité) des informations, les événements qui doivent être journalisés.
➢ Les dispositifs de détection d’attaques ou d’intrusions doivent également fournir leurs fichiers journaux
➢ Les fichiers journaux sont également des fichiers sensibles et doivent être protégés de façon appropriée
➢ Seules des personnes habilitées peuvent avoir accès (en consultation) aux traces. À cette fin, les fichiers doivent rester à disposition des services de sécurité de l’information pour une période suffisante (à déterminer – proposition : 2 ans)
Qualité des données
➢ Une importance particulière est accordée à la qualité des données (intégrité) étant donné que ces informations sont une référence pour le secteur.
➢ Des contrôles de qualité de l’information doivent être menés à chaque mise à jour.
➢ Des procédures de roll-back doivent être prévues pour permettre le retour à la ‘dernière situation saine’
➢ Des journaux des modifications doivent être générés pour chaque opération de mise à jour ou de maintenance automatique.
Surveillance, revue et maintenance.
➢ Les mesures de sécurité en place doivent être évaluées et améliorées régulièrement
➢ Un audit de l’existant et une analyse des besoins de sécurité devraient être menés régulièrement
➢ Les mesures correctives doivent être documentées et appliquées
➢ Tout changement important de l’infrastructure ou de l’organisation devrait mener à une révision des mesures de sécurité.