CONTRAT DE PRESTATION DE SERVICES
CONTRAT DE PRESTATION DE SERVICES
PROGRAMME INVEEST
ENTRE,
GREENFLEX
Société par Actions Simplifiée au capital de 855.543 €, ayant son siège social au 0-00 Xxxxxxxxx Xxxxxxxxx 00000 Xxxxx, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 511 840 845, représentée par Madame Marie-Xxxxxx XXXXXXX, dûment habilitée à signer les présentes,
Ci-après dénommé le « Donneur d’Ordre »
Et,
[Nom de la société]
[forme de la société] au capital de [xxx], ayant son siège social au [adresse], immatriculée au Registre
du commerce et des sociétés de [xxx], sous le numéro [xxx], représenté par [xxx], en sa qualité de [xxx], Ci-après dénommé le « Prestataire »
Ci-après également désignées individuellement la « Partie » ou collectivement les « Parties »
IL A ETE CONVENU CE QUI SUIT :
ARTICLE 1 – DOCUMENTS CONTRACTUELS
Le contrat de prestation de services (ci-après le « Contrat ») est formé des documents contractuels suivants et, en cas de contradiction entre leurs stipulations, prévalent dans cet ordre de priorité :
- Contrat de Prestation de Services ;
- Annexe 1 : Sous-traitance / Données personnelles ;
- Annexe 2 : Conditions Générales d’Achat ;
- Acte d’Engagement ;
- Cahier des Charges ;
- Bons de commande.
Le Contrat fixe toutes les conditions d'exécution des prestations, il est exécuté au fur et à mesure de l'émission de bons de commande émis par le Donneur d’Ordre.
ARTICLE 2 – OBJET DU CONTRAT ET TYPOLOGIE
Le présent Contrat a pour objectifs de préciser les engagements du Prestataire titulaire de la Mission d'Accompagnement pour la communication du programme INVEEST, telle que définie dans le Cahier des Charges de l’appel d’offres (ci-après « Mission »).
ARTICLE 3 – DECOMPOSITION DU CONTRAT
La Mission est composée d’une tranche ferme, divisée en 5 lots complémentaires et d’une tranche optionnelle d’un seul lot.
3.1 Tranche ferme
Les 5 lots complémentaires, listés ci-dessous et décrits dans le Cahier des Charges correspondent chacun à un axe de communication :
- Lot 1 : Social media ;
- Lot 2 : Relations presse ;
- Lot 3 : Evènementiel ;
- Lot 4 : Approche commerciale ;
- Lot 5 : Pilotage.
3.2 Tranche optionnelle
Le Donneur d’Ordre pourra décider d’affermir ou non la tranche optionnelle, correspondant au Lot 6, tel que présenté dans le Cahier des Charges.
Si le Donneur d’Ordre décide de ne pas affermir la tranche optionnelle, le Prestataire ne pourra prétendre à aucune indemnité à ce titre.
ARTICLE 4 – MODALITES DE REALISATION DE LA MISSION
Pour la réalisation de chaque lot, un bon de commande sera émis par le Donneur d’Ordre. Les délais d'exécution ou de livraison des prestations sont fixés à chaque bon de commande.
ARTICLE 5 – DUREE DU CONTRAT
Le Contrat prend effet à compter de sa signature et est valable jusqu’au 31 décembre 2021.
Le Contrat pourra être résilié par le Donneur d’Ordre après la livraison de l’ensemble des services de la tranche ferme s’il décide de ne pas affermir la tranche optionnelle.
ARTICLE 7 – MODALITES FINANCIERES [cette partie sera adaptée et complétée en fonction de la proposition faite par le titulaire]
ARTICLE 8 – DONNEES PERSONNELLES
Des informations concernant le Prestataire sont recueillies dans le cadre de ce Contrat et de son exécution, et font l’objet d’un traitement informatique destiné à assurer la gestion des prestations, l’accès aux locaux et la gestion du Contrat.
Le Donneur d’Ordre est le responsable du traitement des données réalisé.
Le traitement des données se fonde sur la relation contractuelle avec le Prestataire et les obligations légales du Donneur d’Ordre.
Les destinataires des informations sont le secrétariat, le service de facturation, les assistants, le service des ressources humaines, le service informatique, la direction, le Comité technico-pédagogique du Programme et éventuellement les services liés à la sécurité et à l’accès aux locaux.
Les données du Prestataire sont conservées pendant la durée nécessaire à la finalité du traitement, c’est-à-dire pendant la durée de la relation contractuelle, avec une conservation en archivage intermédiaire pour une durée conforme aux dispositions applicables en matière de prescription. Les délais de conservation sont notamment les suivants :
- Gestion du contrat : 5 ans en archivage intermédiaire à compter du départ du Prestataire ;
- Gestion de la facturation : 10 ans à compter de la clôture de l’exercice comptable ;
- Espace numérique – plateforme pédagogique – gestion des systèmes d’information dans le cadre des formations dispensées : les données sont conservées jusqu’à ce que le Prestataire demande leur suppression.
- Les informations concernant le Prestataire quant aux contrôles d’accès aux locaux sont conservées pendant une durée de 3 mois après leur enregistrement.
Il est rappelé que le Prestataire s’engage à respecter la charte informatique en vigueur dans l’établissement, et notamment les dispositions relatives à la réglementation sur les données à caractère personnel, ainsi que l’Annexe 1.
Le Prestataire est informé de l’existence du droit de demander au Donneur d’Ordre, par l’intermédiaire de son Délégué à la protection des données (« DPO ») dont les coordonnées sont ci-dessous, l’accès à ses données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement de ses données personnelles, ou du droit de s’opposer audit traitement, dans les conditions prévues au Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel. Le Prestataire est également informé de son droit d’introduire une réclamation auprès d’une autorité de contrôle : la CNIL (Commission Nationale de l'Informatique et des Libertés).
Le DPO du Donneur d’Ordre peut être contacté à l’adresse électronique xxx@xxxxxxxxx.xxx ou par courrier à l’adresse suivante GREENFLEX, Délégué à la protection des données, 7 – 00 xxxxxxxxx Xxxxxxxxx 00000 Xxxxx.
ARTICLE 9 – ENGAGEMENTS DU PRESTATAIRE
Le Prestataire s’engage à :
- respecter le Programme INVEEST (objectifs, contenu de la formation …) ;
- réaliser les missions confiées dans le respect des règles éthiques de la profession.
ARTICLE 10 – ENGAGEMENT DU DONNEUR D’ORDRE
Le Donneur d’Ordre s’engage à communiquer les documents nécessaires à l’exécution de la mission de manière diligente.
ARTICLE 11 – REGLEMENT DES LITIGES
En cas de litige, différend ou réclamation lié à la Mission, les Parties chercheront, de bonne foi, à régler à l’amiable leurs différends. A défaut d’accord amiable dans un délai d’un (1) mois à partir de la notification écrite de la Partie la plus diligente, le litige sera soumis à la compétence du Tribunal de Commerce de Paris.
Fait en double exemplaire à (lieu), le (date)
Pour le Prestataire, Pour le Donneur d’Ordre,
Nom et prénom et signature Nom et prénom et signature
ANNEXE 1 : SOUS-TRAITANCE / DONNEES PERSONNELLES
1. Objet
Les clauses du présent accord définissent les conditions dans lesquelles le Donneur d’Ordre (ci-après désigné par « responsable du traitement ») et le Prestataire (ci-après désigné par « sous-traitant » ou
« Prestataire ») s’engagent à respecter dans le cadre de leurs relations contractuelles, la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après, « règlement européen sur la protection des données »).
Dans le cadre de sa mission, le sous-traitant est amené à collecter et/ou traiter des données personnelles pour le compte du responsable du traitement. Le Prestataire reste toutefois seul responsable concernant les traitements de données personnelles qu’il réalise pour son propre compte et pour lesquels le Donneur d’Ordre n’a pas défini la finalité.
En cas de dispositions contraires entre le présent accord et le Contrat de prestation de services (ci- après désigné « Contrat »), les dispositions du présent accord prévaudront.
2. Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à traiter pour le compte du responsable du traitement les données à caractère personnel nécessaires pour fournir les services de formation décrits au Contrat. La nature et les finalités des opérations réalisées sur les données sont décrites au Contrat.
3. Obligations du sous-traitant vis-à-vis du responsable du traitement Le sous-traitant s'engage à :
- traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
- traiter les données conformément aux instructions documentées du responsable du traitement figurant aux Contrats et ou données dans le cadre de l’exécution de ces Contrats. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable du traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre des Contrats ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu des Contrats :
o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
o reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- fournir au responsable du traitement toutes les informations et toute l’assistance nécessaire à l’accomplissement de ses obligations ;
- mettre à la disposition du responsable du traitement toutes les informations nécessaires pour permettre la réalisation d'audits, par le responsable du traitement ou un autre auditeur mandaté, et contribue à ces audits conformément à l’article 28h) du règlement européen sur la protection des données ;
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
- collaborer étroitement, sur demande du responsable du traitement, à la réalisation de toute éventuelle formalité ou analyse d’impact ou consultation des autorités, relative aux traitements dans le cadre des prestations prévues aux Contrats et assiste notamment le responsable du traitement en cas de demande d’information ou de contrôle des autorités compétentes ; le sous-traitant informe en outre le responsable du traitement de toute demande ou contrôle effectué par une autorité dont il ferait l’objet.
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable du traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous- traitance ultérieure. Le responsable du traitement dispose d’un délai minimum de 10 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable du traitement n'a pas émis d'objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations des Contrats pour le compte et selon les instructions du responsable du traitement. Il appartient au sous-traitant de s’assurer que le sous- traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant demeure pleinement responsable devant le responsable du traitement de l’exécution des obligations incombant aux sous-traitant ultérieurs.
4. Droit d’information des personnes concernées
Il appartient au responsable du traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Le sous-traitant fournira son aide au responsable du traitement pour l’établissement du texte et sa diffusion si nécessaire.
5. Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement.
À cet égard, le sous-traitant collabore et assiste le responsable du traitement, en mettant en place des mesures techniques et organisationnelles appropriées à la nature du traitement, afin de répondre aux
demandes des personnes concernées en vue d'exercer leurs droits prévus par le règlement européen sur la protection des données.
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à
6. Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable du traitement, ou son interlocuteur privilégié, toute violation de données à caractère personnel immédiatement ou au plus tard dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance et par courrier électronique à
xxx@xxxxxxxxx.xxx avec en objet « IMPORTANT : VIOLATION DE DONNEES ». Cette notification est accompagnée de toute documentation utile afin de permettre au responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Le sous-traitant prend toutes les mesures nécessaires pour remédier à cette violation de données personnelles dans les plus brefs délais.
7. Mesures de sécurité
Avant le début du traitement, le sous-traitant s’engage à prendre toutes les mesures appropriées afin de garantir un niveau de protection adapté au risque en matière de confidentialité, d’intégrité, de disponibilité et de résilience des systèmes et, notamment, afin d’empêcher que les données à caractère personnel ne soient faussées, endommagées ou communiquées à des tiers non autorisés.
À cet effet, il convient de tenir compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée et des finalités du traitement ainsi que de la probabilité de survenance et de la gravité des risques pour les droits et libertés des personnes physiques au sens de l‘article 32 alinéa 1 du règlement européen sur la protection des données.
Le sous-traitant s’engage à fournir tous documents justificatifs attestant que les mesures techniques et organisationnelles requises ont été prises.
Le sous-traitant s’engage à procéder à un contrôle régulier des procédures internes ainsi que des mesures techniques et organisationnelles afin de s’assurer que le traitement relevant de sa responsabilité est réalisé conformément aux exigences de la législation en vigueur sur la protection des données à caractère personnel et de la protection des droits des personnes concernées.
8. Transfert de données personnelles en dehors de l’Union Européenne
Le sous-traitant s’engage à ne pas transférer les données personnelles vers un pays hors de l’Espace Économique Européen ou n’offrant pas une « protection adéquate », sauf autorisation expresse du responsable du traitement.
9. Sort des données / Durée de conservation
Au terme des prestations de services relatives au traitement des données, ou à la demande du responsable du traitement et au choix de ce dernier, le sous-traitant s’engage à restituer toutes les données personnelles au responsable du traitement sur le support et dans le format convenu. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant, à moins que le droit de l'Union européenne ou le droit de l'État membre n'exige la conservation des données. Cette restitution/destruction donnera lieu à l’établissement d’un procès- verbal daté et signé, remis au responsable du traitement.
10. Autres traitements réalisés par le Prestataire pour son propre compte
D’autres traitements que ceux visés au Contrat peuvent être réalisés uniquement par le Prestataire. Le Prestataire est ainsi seul responsable des traitements de données pour lesquels le Donneur d’Ordre n’a pas déterminé la finalité des traitements et/ou les moyens de collecte des données personnelles. Le cas échéant, le Prestataire s’engage à fournir aux personnes concernées par le traitement des données personnelles les informations relatives à la collecte et au traitement de données personnelles qu’il réalisera.
11. Registre du sous-traitant
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement conformément à la réglementation applicable.
12. Divers
Toute évolution du règlement européen sur la protection des données donnant lieu à un renforcement des obligations susvisées est immédiatement mise en œuvre par le sous-traitant.