VOUS (LE « CLIENT ») DEVEZ LIRE ATTENTIVEMENT LES TERMES SUIVANTS AVANT D'UTILISER LE SERVICE VIDSIGNER DE L'ORGANISME VALIDATED ID SL (« VID »). L'UTILISATION DE CE SERVICE IMPLIQUERA QUE VOUS ACCEPTEZ LES TERMES SUIVANTS.
Termes et conditions du service VIDsigner
VOUS (LE « CLIENT ») DEVEZ LIRE ATTENTIVEMENT LES TERMES SUIVANTS AVANT D'UTILISER LE SERVICE VIDSIGNER DE L'ORGANISME VALIDATED ID SL (« VID »). L'UTILISATION DE CE SERVICE IMPLIQUERA QUE VOUS ACCEPTEZ LES TERMES SUIVANTS.
1. Cadre et parties. Le présent Accord de software en tant que service de VID (l'« Accord ») régit l'accès et l'utilisation du service de VID par le Client Final (le
« Client ») qui confirme une commande, un devis ou une proposition commerciale (« la commande ») en personne ou indirectement par le biais d'un distributeur autorisé. Les termes de l'Accord entreront en vigueur avec l'acceptation de la Commande par le Client ou le distributeur autorisé, ou lors du renouvellement, et resteront en vigueur sauf annulation conformément à cet Accord.
1. Service VIDsigner. Il s’agit d’un service de signature électronique qui s'adapte à chaque cas d'utilisation en fonction de la typologie du signataire, de la capacité technologique des parties ou des exigences légales ou de sécurité requises en fonction de différentes modalités : signature personnelle (biométrie), à distance (basée sur des preuves), centralisée (certificats numériques), locale avec un dispositif sécurisé de création de signature (dnie/smartcard) ou automatisé (basée sur des certification de cachet), eDelivery (communications multicanaux fiables et échange de documents électroniques). Les services de signature de ViDSigner peuvent être utilisés de manière indépendante ou combinés entre eux. VIDsigner peut être utilisé directement en mode « stand-alone » via la plate-forme « VIDsigner Docs » ou intégrée dans un software de tiers via l'API REST apportée par VID.
2. Commandes. Les Clients devront effectuer des commandes du service VIDsigner via le site web de VID, les agents de ventes de VID ou les distributeurs autorisés de VID. Le délai de chaque souscription de VIDsigner et, le cas échéant, ses conditions particulières, sont établis dans chaque Commande et entreront en vigueur à la date à laquelle les données de la souscription sont mises à la disposition du Client. S'il n'existe pas d'accord particulier, il sera entendu que les souscriptions auront une validité annuelle et qu'elles seront tacitement reconduites par périodes annuelles.
3. Droits d'accès. Le Client décide de maintenir la confidentialité du compte, les autorisations et tout mot de passe nécessaire pour utiliser le service VIDsigner. En cas de soupçon qu'une utilisation non autorisée des autorisations ou du mot de passe du compte du Client a été effectuée, , celui-ci devra immédiatement le communiquer à VID.
4. Limitations d'utilisation. Le service VIDsigner devra être utilisé seulement à des fins internes du Client et non à celle de commercialisation, à moins que le contraire ne soit expressément autorisé. Le Client ne devra pas : (i) vendre, revendre, licencier, accorder une licence, louer ou distribuer le service VIDsigner ; (ii) copier ou reproduire toute partie, caractéristique, fonction ou interface d'utilisateur du service VIDsigner ; (iii) interférer ou interrompre l'intégrité ou le rendement du service ; (iv) utiliser le service pour céder, envoyer ou stocker des données, de la part du Client, qui seraient menaçantes, diffamatoires ou illégitimes ou qui violerait les droits de privacité de tiers, ou qui violerait ou qui entrainerait une appropriation indue des droits de propriété intellectuelle ; (v) utiliser le service VIDsigner pour interrompre ou causer des dommages au système ou à l'environnement d'un tiers ; (vi) accéder au service VIDsigner pour créer un produit ou un service concurrent ; (vii) appliquer de l'ingénierie inverse à une solution SaaS de VID ; (viii) divulguer toute information ayant trait au rendement ou au fonctionnement du service VIDsigner (y compris les résultats d'évaluation comparative ou autres résultats) à des tiers sans le consentement exprès et écrit de VID ; ou (ix) engager un tiers pour effectuer des tests de sécurité dans le service VIDsigner à moins que ce tiers ne signe un accord écrit de non divulgation directement auprès de VID.
5. Termes de paiement.
6.1. Ventes directes de VID : Les termes et conditions suivants seront appliqués aux ventes directement effectuées par VID au Client.
a) Prix et taxes. Les prix seront ceux indiqués par écrit par VID lors de la passation officielle de la commande ou du devis. VID facturera au Client tous les services, paquets et incorporations de la période de manière groupée, et à l'avance, au cours de la dernière semaine du mois, sauf accord contraire, la périodicité et le mode de paiement étant indiqués dans la commande.
b) Les prix établis dans le Contrat n'incluent pas les impôts. Les prix facturés seront donc grevés des impôts applicables selon la législation en vigueur à la date de la facturation.
c) Factures et paiements. Le Client accepte de payer tous les montants facturés à la date d'échéance indiquée dans la commande.
6.2. Ventes via le canal de distribution : Dans le cas des ventes effectuées par un distributeur autorisé de VID à un Client, les prix, impôts et termes et conditions de facturation seront décidés exclusivement entre le distributeur autorisé par VID et le Client.
7. Données fournies par le Client. Le Client sera le seul responsable du contenu des documents et des données envoyés au service.
8. Données personnelles. Étant donnée la nature des services objet du présent Accord, VID doit avoir accès à l’information fournie par le Client et contenant des données personnelles. VID, en tant que sous-traitant, est considérée responsable du traitement (ainsi qu’en cas d'intégration par le biais d'un
distributeur autorisé) ou le « sous-responsable du traitement » conformément à l'article 28 du RÈGLEMENT (UE) 2016/679 du PARLEMENT EUROPÉEN ET
du CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques concernant le traitement de données personnelles et la libre circulation de ces données et abrogeant la Directive 95/46/CE (règlement général de protection données ou de RGPD).
Les conditions dans lesquelles VID traitera les données personnelles, dont le Client est responsable du traitement, restent régies par le contrat d'ordre ou de sous-ordre de traitement souscrit entre les parties. À défaut d'accord spécifique, l'acceptation de ces conditions par le Client sera considérée comme une signature du Contrat de demande de traitement, qui est incorporé en tant qu'Xxxxxx XX.
9. Sécurité des données. VID mettra en œuvre les mesures techniques et d'organisation adéquates afin de protéger l'information fournie par le Client pour la prestation du service.
10. Opérations d'entretien. Si, pendant la validité de l'accord, VID ne dégrade pas substantiellement la fonctionnalité du Service : (i) VID pourra modifier les systèmes et l'environnement utilisés pour fournir son service ; et (ii) VID se réserve le droit d'effectuer tout changement dans le service qu'elle considèrerait nécessaire ou utile pour maintenir ou améliorer la qualité de la prestation des services de VID à ses clients, la solidité compétitive, l'efficience de coûts ou le rendement du service. VID pourra utiliser des ressources globales ou de tiers pour fournir ses services et remplir ses obligations. Dans tous les cas, VID fera tout son possible pour que les interruptions pour raison de maintenance soient communiquées à l'avance et qu'elles aient lieu pendant les moments d'activité réduite.
11. Licence accordée au software par rapport au service. Étant donné que l'utilisation de software spécifique est requise pour l'utilisation du service, VID accorde au Client une licence non exclusive et non transférable d'utilisation du service pendant la validité de l'accord. À moins que le contraire ne soit indiqué par écrit, le Client ne pourra utiliser le Software objet de licence qu’à des fins internes et non pas pour une commercialisation postérieure. Le Client accepte qu'il ne modifiera pas, n'appliquera pas l'ingénierie inverse, ne désassemblera pas, ne déchiffrera pas, ne décompilera pas et n'effectuera pas des travaux dérivés d'aucun Software objet de licence sauf si la loi le permet, et dans ce cas le Client fournira à VID l'information raisonnablement détaillée desdites activités.
12. Rendement. - VID sera responsable du fonctionnement et de la continuité du Service avec les niveaux de qualité adéquats. En ce sens, elle sera responsable du fonctionnement, individuel et opérationnel, de tous les éléments employés pour la prestation du Service. Cependant, VID ne sera en aucun cas tenue responsable des vices occultes des équipements se devant à des défauts de fabrication ni des défauts produits à cause d’une mauvaise utilisation du Client ou de ses utilisateurs.
13. Droits de propriété intellectuelle. VID est propriétaire et titulaire des droits d'exploitation du Service ViDSigner. Ces droits protègent aussi bien le software qui peut en résulter que les données, listings, diagrammes et schémas élaborés au cours de la phase d'analyse, le manuel d'application, les autres données et le matériel d'appui, les symboles d'identification, les mots de passe, les noms d'utilisateur et les symboles de sécurité. VID défendra et/ou résoudra toute réclamation envers le Client qui allèguerait qu'un produit ou un service de marque VID viole les droits de propriété intellectuelle d'un tiers. Le service de gestion de processus de signature « VIDsigner Docs » est développé et géré par l'organisme Qualita Solutions & Consulting S.L. auquel correspondent exclusivement la titularité des droits de propriété intellectuelle selon termes indiqués au paragraphe précédent.
14. Confidentialité. Les parties décident de traiter toutes ces données, la documentation et toute autres information fournies à l'autre partie avant ou pendant la validité du présent Accord confidentiellement. Les deux parties décident également de ne divulguer cette information à aucune personne ni organisme à l'exception de leurs propres employés à condition de maintenir également la confidentialité, et seulement dans la mesure où cela s’avèrerait nécessaire pour la bonne exécution du Service. Les accords de confidentialité établis dans la présente clause seront valables aussi bien pendant la validité du Service engagé qu'après son extinction.
15. Divulgation de l'accord. Le Client autorise expressément VID à faire une référence publique de l'utilisation par le Client du service VIDsigner
16. Politique de conservation des données. Quant aux documents que le Client remet au service pour préparations de leur signature par les utilisateurs, ceux- ci disposeront de 60 jours à compter de la date de renvoi au système, pour procéder à la signature correspondante et, une fois le document signé ou rejeté par tous les signataires, le Client devra les télécharger dans le délai maximal de 30 jours suivant sa signature . Passé ce délai de 60 jours et si le document n’a pas été signé par tous les utilisateurs ou si 30 jours après les accusés les signatures n’ont pas été téléchargés, VID sera autorisé à les détruire et ne gardera en son pouvoir aucun support ou document les contenant. Toutefois, pour des raisons techniques et pour assurer la qualité du service, les documents
et les données personnelles peuvent être conservés dans notre système jusqu'à 30 jours après la date d'expiration ou de suppression avant que l'information ne soit définitivement détruite. En conséquence, les données et documents relatifs à une opération de signature peuvent être conservés dans nos systèmes pendant un minimum de 30 jours et un maximum de 120 jours et VID ne conservera en sa possession aucun support ou document les contenant.
VID garantit la possibilité pour le Client ou le distributeur agréé désigné par lui d'accéder aux documents signés dans les délais ci-dessus et que le téléchargement s'effectue dans des conditions techniques assurant leur confidentialité et leur rapidité de transfert.
Dans le seul cas de l'utilisation de VIDsigner Docs, les documents signés seront conservés sur la plateforme pendant toute la durée du contrat.Une fois celle-ci écoulée, le client disposera de 30 jours pour les télécharger et les sauvegarder. Passé ce délai, les documents seront définitivement supprimés.
17. Limitation de responsabilité. La responsabilité de VID envers un Client en vertu de cet Accord se limite aux montants réellement perçus par VID pendant le délai des douze (12) mois immédiatement antérieurs à l'acte ou à l'omission ayant fait l’objet d’une réclamation. Cette limite s'applique collectivement à VID, ses employés, ses filiales, ses contractants et ses fournisseurs.
18. Suspension. VID pourra suspendre les droits d'accès et d'utilisation du Client au service si le Client n'effectue pas les paiements au moment de l’échéance ou s'il néglige l'une quelconque des clauses contenues dans ces termes et ces conditions ou dans les conditions particulières qui auraient éventuellement été établies. Le Client restera responsable des tarifs applicables jusqu'à la date de suspension.
19. Résiliation. L'une quelconque des parties pourra résilier cet Accord par notification écrite si l'autre ne respecte pas une obligation importante et ne remédie pas au non-respect dans un délai de 15 jours après avoir notifié les détails par écrit. Si l'une quelconque des parties était déclarée insolvable, si elle
ne pouvait pas payer ses dettes au moment de l’échéance, si elle était déclarée en faillite ou en cas d’affectation d’une immobilisation, l'autre partie pourra résilier cet Accord et annuler toute obligation non respectée. VID pourra résilier cet Accord si les droits d’accès et d’utilisation du Client sont suspendus ou pour respecter les législations ou les règlements applicables. Tout terme de cet Accord qui, par sa nature, s'étendrait au-delà de la fin ou de l'échéance de celui- ci, restera en vigueur jusqu'à son accomplissement et s'appliquera aux successeurs respectifs et aux cessionnaires autorisés des deux parties.
20. Effet de l'expiration ou de la résiliation. Sauf en cas de résiliation pour juste cause compte tenu du non-respect substantiel par VID de l'Accord, la résiliation de cet Accord le Client n’aura droit à aucun remboursement total ou partiel des montants, et les obligations de paiement ne seront pas annulables.
21. Intégrité des conditions générales et clause de sauvegarde. Chacune des présentes clauses doit être interprétée séparément et indépendamment des autres. Si l'une quelconque d'elles devenait invalide, illégale ou inexécutable en vertu d'une norme juridique ou si elle était déclarée nulle ou inefficace par tout tribunal ou autorité administrative, sa nullité ou son inefficacité n’affectera pas les autres clauses qui conserveront leur pleine validité et efficacité. Les parties contractantes décident de remplacer la clause ou les clauses affectées par n'importe quelle autre ayant les effets correspondant aux objectifs recherchés par les parties dans les présentes Conditions Générales.
22. Législation applicable et juridiction compétente. Le Service engagé a un caractère commercial, il sera régi par la loi espagnole et pour tout différend qui pourrait surgir entre les parties quant à sa validité, son exécution, son respect ou sa résiliation, totale ou partielle, les parties, renonçant à leurs juridictions respectives et à toute autre juridiction qui pourrait leur correspondre, se soumettent expressément à la juridiction et à la compétence des Tribunaux de Barcelone.
ANNEXE I
CONDITIONS SPÉCIFIQUES QUI RÉGISSENT L'UTILISATION DES CANAUX DE SIGNATURE ET SERVICES CONNEXES
Indépendamment du respect des Termes et des conditions générales du Service VIDsigner, les conditions spécifiques applicables suivantes sont établies uniquement en utilisant un canal de signature déterminé :
CONDITIONS D'UTILISATION SPÉCIFIQUES DE VIDSIGNER BIO
Les dispositifs employés pour la signature doivent suivre des prémisses obligatoires de capture des éléments biométriques nécessaires, mais tous les dispositifs ne fournissent pas une information en matière de pression, cette donnée étant fondamentale pour effectuer une évaluation calligraphique fiable. Le lien xxxxx://xxx.xxxxxxxxxxx.xxx/xx/xxxxxxx-xxxx-xxxx/ indique les dispositifs approuvés avec VID pour la signature biométrique. Cette liste n'est pas fermée et peut faire l'objet de futures modifications. Tout dispositif non inclus dans la liste doit être préalablement validé.
VID n'assumera aucune responsabilité juridique dérivée de la non admission comme preuve des documents signés dans les procédures judiciaires ou administratives dans lesquelles sa contribution comme preuves ou pour cause d'évaluation négative des documents serait requise ou si des signatures émises par les organes administratifs ou judiciaires ou par les experts désignés par ceux-ci dans les cas où, à la demande du client des dispositifs non approuvés seraient employés par VID.
À la demande du client, et uniquement par souscription, au moment de la signature, un certificat numérique non qualifié à usage unique peut être généré au nom du signataire, émis par l'entité de certification Firmaprofesional SA et régi par les dispositions des CPS et CP de cette entité, qui peut être trouvée à l'adresse xxxxx://xxx.xxxxxxxxxxxxxxxx.xxx/xxx. Alternativement, à la demande du client ou en raison de l'indisponibilité du service de génération de certificats numériques, un sceau électronique peut être utilisé sans les informations personnelles du signataire.
CONDITIONS D'UTILISATION SPÉCIFIQUES DE VIDSIGNER REMOTE
Dans la modalité de signature à distance, les utilisateurs peuvent signer des documents de leurs propres dispositifs. La valeur juridique de la signature vient de l'obtention d'un ensemble de preuves du processus de signature par le prestataire qui feront qu’en cas de litige, une signature serait attribuable ou non à une personne déterminée. Les preuves demandées incluront, au moins :
• Adresse d'email du signataire
• Adresse IP depuis laquelle les opérations sont exécutées
• N.º de téléphone mobile de réception du SMS avec le code de signature
• Code de signature d'une seule utilisation (OTP)
• Signature manuscrite effectuée sur le dispositif
• Géolocalisation (soumise à l'acceptation du signataire)
• Moteur de recherche depuis lequel le processus a été effectué
• Tampon de date
En tant que prestataire, VID émettra un certificat de conformité indiquant concrètement toutes les preuves lors de la fin du processus de signature. VID n'assumera donc aucune responsabilité juridique dérivée de la non admission des documents signés en tant que preuve dans les procédures judiciaires ou administratives dans lesquelles sa contribution serait requise comme preuves ou par l'évaluation négative des documents ou des signatures émises par les organes administratifs ou judiciaires ou par les experts désignés par ceux-ci dans les cas où, à la demande du client, l'on éliminerait l'une quelconque de ces preuves nécessaires pour garantir l'attribution du document au signataire.
À la demande du client, et uniquement par souscription, au moment de la signature, un certificat numérique non qualifié à usage unique peut être généré au nom du signataire, émis par l'entité de certification Firmaprofesional SA et régi par les dispositions des CPS et CP de cette entité, qui peut être trouvée à l'adresse xxxxx://xxx.xxxxxxxxxxxxxxxx.xxx/xxx. Alternativement, à la demande du client ou en raison de l'indisponibilité du service de génération de certificats numériques, un sceau électronique peut être utilisé sans les informations personnelles du signataire.
Dans des circonstances spécifiques, et pour des raisons techniques indépendantes de la volonté de la DVI, celle-ci peut suspendre temporairement le service OTP par SMS afin de garantir la disponibilité du service.
CONDITIONS D'UTILISATION SPÉCIFIQUES DE VIDSIGNER CENTRALIZED ET STAMPER
Dans la modalité de signature centralisée, les utilisateurs préalablement autorisés par le Client sont autorisés à signer des documents via une application web depuis le PC, le laptop ou le dispositif mobile par un système de centralisation de code et de certificats numériques. On emploiera les certificats numériques de signature électronique émis par une autorité de certification au nom de l'Utilisateur ou du Client afin d’effectuer des signatures électroniques et
ils pourront être qualifiés ou non en fonction de la déclaration de l'autorité de certification émettrice.
Le Client devra agir, de manière générique, en tant qu'interlocuteur entre l'Utilisateur et VID. Notamment, le Client devra informer concrètement l'Utilisateur des obligations suivantes que :
a) L'Utilisateur est le titulaire légitime du certificat incorporé au service ou qu’il est autorisé à l’utiliser.
b) L'Utilisateur devra garder secrets les codes, passwords ou pins reçus, de manière diligente, en prenant les précautions raisonnables pour éviter leur perte, révélation, modification ou utilisation non autorisée. L'Utilisateur devra informer immédiatement le Client clés qui à son tour informera VID de toute situation susceptible d’affecter sa sécurité.
c) L'Utilisateur s'engage à ne pas partager avec des tiers les codes d'accès au système permettant l'utilisation indue des codes privés et des certificats numériques dont il est titulaire.
d) L'Utilisateur s’engage à l'utilisation du service et des applications fournies selon les instructions reçues le Client et/ou VID.
e) Les certificats et les codes de signature doivent être employés pour leur fonction propre selon la fin établie et selon la légalité en vigueur.
CONDITIONS D'UTILISATION SPÉCIFIQUES DE VIDSIGNER DELIVERY
VIDsigner Delivery est l'alternative numérique au bureaufax et au courrier certifié. D'un point de vue juridique, elle constitue une garantie en cas de litige que le destinataire a reçu une notification électronique.
La valeur juridique de la communication provient du fait que le fournisseur obtient un ensemble de preuves du processus qui permettra, en cas de litige, d'établir les présomptions confirmant qu'une certaine personne a reçu une communication et, le cas échéant, qu'elle a accédé à son contenu. Les preuves recueillies comprennent au moins
a) L'adresse électronique du destinataire
b) l'adresse IP à partir de laquelle les opérations sont exécutées
c) le numéro de téléphone portable où le SMS avec la clé d'accès au document est reçu
d) Clé d'accès unique (OTP)
e) Géolocalisation (sous réserve d'acceptation par le destinataire)
f) Navigateur à partir duquel le processus a été effectué
g) Horodatage
Le VID, en tant que fournisseur, délivrera un certificat de conformité dans lequel seront indiquées toutes les preuves du processus de communication. Par conséquent, le VID n'assumera aucune responsabilité juridique dérivée de l'inadmissibilité des communications envoyées comme preuve dans les processus judiciaires ou administratifs dans lesquels leur contribution est requise comme preuve ou pour l'évaluation négative émise par les organes administratifs ou judiciaires ou les experts ou les experts désignés par ceux-ci dans les cas où, à la demande du client, l'une de ces preuves nécessaires pour garantir l'attribution de la communication au destinataire ou parce que le destinataire n'a pas accédé au contenu de ladite communication, en pouvant prouver, dans ce cas, seulement sa disponibilité.
Dans des circonstances spécifiques, et pour des raisons techniques indépendantes de la volonté du VID, ce dernier peut suspendre temporairement le service OTP par SMS afin de garantir la disponibilité du service.
CONDITIONS D'UTILISATION SPÉCIFIQUES DE VIDSIGNER DOCS
VIDsigner Docs est un service de gestion de processus de signature opéré par l'organisme Qualita Solutions & Consulting S.L avec les fonctionnalités de base suivantes :
a) Entretien utilisateurs et signataires.
b) Entretien de modèles de documents
c) Gestion et dépôt de documents signés ou à signer
d) Envoi de documents au service de processus de signature VIDsigner via les canaux de signature précédents
e) Compatibilité avec de multiples formats
f) Envoi massif et par lots
g) Multi langue
Le client reconnaît qu'il sera le seul responsable du contenu des documents traités et stockés dans la plate-forme, de la véracité et de l'exactitude des données des signataires, ainsi que de l'accès par les personnes de son organisation désignées par lui à ceux-ci.
Le client devra effectuer une gestion d'utilisateurs diligente, particulièrement en ce qui concerne la révocation d'accès à la plate-forme aux utilisateurs non autorisés ou ayant cessé leur relation avec le client.
Le client veillera à ce que les utilisateurs désignés par lui conservent les clés secrètes, les passwords ou les pins reçus de manière diligente, en prenant les précautions raisonnables pour éviter leur perte, leur révélation, leur modification ou leur utilisation non autorisée, et il devra informer immédiatement VID sur toute situation pouvant affecter la sécurité des clés d'accès. La taille maximale des documents téléchargés au service ne pourra pas dépasser une taille, par document, de 18 Mb.
ANNEXE II. CONTRAT DE COMMANDE DE TRAITEMENT
ANTÉCÉDENTS
I. - VID prête au Client des services de signature électronique directement ou indirectement commandés via son canal de distribution
II. - Le Client est responsable du traitement des données personnelles.
III. Étant donnée la nature des services commandés à VID, celle-ci doit effectuer des accès à l’information fournie par le Client contenant des données personnelles, et elle est considérée responsable du traitement conformément à l'art. 28 du RÈGLEMENT (UE) 2016/679 du PARLEMENT EUROPÉEN ET du CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques quant au traitement des données personnelles et à la libre circulation de ces données, dérogeant la Directive 95/46/CE (règlement général de protection des données ou RGPD), et le présent Contrat spécifie donc les conditions relatives à ces traitements de données personnelles.
Dans les accès à l’information fournie par le Client et contenant des données personnelles, VID garantit qu'elle emploiera la diligence maximale dans le respect des obligations établies par la réglementation applicable, ainsi que pour toute autre exigence qu'elle assumerait en vertu de la relation commerciale.
IV. - Le traitement des fichiers ou des bases de données, étant donnée la nature des données qui y sont contenues, est soumis au règlement (UE) 2016/679 du Parlement Européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques quant au traitement de données personnelles et la libre circulation de ces données (règlement Général de Protection Données ou de RGPD) et à la Loi Organique 3/2018, du 5 décembre, de Protection des Données et de Garantie des Droits Numériques.
V. - VID déclare, sous sa responsabilité, qu’elle réunit toutes les garanties pour le respect des dispositions applicables quant au traitement des données personnelles et à la libre circulation de ces données, et qu’elle s'engage à les respecter.
VI. - VID et le Client se reconnaissent mutuellement la capacité suffisante pour la souscription du présent Contrat, conformément aux suivantes
CLAUSES
1. Objet de la commande de traitement
Les clauses du présent Contrat autorisent VID, en tant que responsable du traitement, à traiter, pour le compte du Client, les données personnelles nécessaires pour prêter le service spécifié au Point I.
2. Durée
Ce Contrat sera en vigueur pendant la durée de la relation de prestation de services à laquelle se réfère le Point I, et, une fois cette relation éteinte, le présent Contrat sera donc également automatiquement éteint et résilié.
3. Nature et but du traitement
Le traitement des données par VID sera limité à ce qui sera nécessaire et indispensable pour effectuer la prestation des services engagés. VID s'engage également à protéger les données du Client selon ce qui est indiqué dans le présent Contrat. Dans tous les cas, les opérations de traitement de données du PRESTATAIRE sont les suivantes :
Collecte | Enregistrement | Structuration | Modification |
Conservation | Extraction | Consultation | Accès |
Diffusion | Interconnexion | Comparaison | Limitation |
Suppression | Destruction | Communication | Autres |
Autres (indiquer) : | |||
Si VID considérait nécessaire de réaliser un traitement des données différent des opérations indiquées, elle devra préalablement demander l'autorisation écrite du Client. Dans tous les cas, VID ne pourra pas traiter les données à des fins différentes de celles établies dans le présent Contrat.
4. Identification de l'information concernée : typologie des données et catégorie des intéressés
4.1 Typologie des données
Pour l'exécution des prestations dérivées du respect de l'objet de cette commande, le Client met à la disposition de VID la typologie de données personnelles suivante, auxquelles il accédera pour la prestation du service :
• Données d'identification : prénom et noms de famille, e-mail, D.N.I.(carte d’identité), téléphone, géolocalisation, signature électronique, signature électronique manuscrite
• Document à signer
4.2 Catégorie des intéressés
Pour l'exécution des prestations dérivées du respect de l'objet de cette commande, les catégories des intéressés dont les données vont faire l'objet d'un traitement par VID sont les suivantes :
• Intéressés entretenant des relations Commerciales ou autres avec le Client (employés, patients, administrés,…)
5. Obligations de VID
En tant que responsable du traitement, VID et tout son personnel, s'engagent à
:
1. Utiliser les données personnelles objet de traitement, ou celles qu'elle collectera pour inclusion, seulement aux fins d’une relation commerciale. En aucun cas elle ne pourra utiliser les données à des fins propres.
2. Traiter les données suivant les instructions du Client. Si VID considérait que l'une des instructions viole le RGPD ou toute autre disposition de protection des données de l'Union ou des États membres, elle en informera immédiatement le Client.
3. Tenir, par écrit, un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client, et contenant :
3.1. Le nom et les données de contact du responsable, et de chaque responsable pour le compte duquel agit le responsable et, le cas échéant, du représentant du responsable et du délégué en matière de protection des données, le cas échéant.
3.2. Les catégories de traitements effectués pour le compte de chaque responsable.
3.3. Le cas échéant, les transferts des données personnelles à un tiers pays ou à une organisation internationale, et l'identification de ce tiers pays ou de l’organisation internationale et, dans le cas des transferts indiqués à l'article 49 paragraphe 1, deuxième paragraphe du RGPD, la documentation des garanties adéquates.
3.4. Une description générale des mesures techniques et de l'organisation en matière de sécurité concernant :
- L’attribution d’un pseudonyme et le chiffrage des données personnelles.
- La capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement.
- La capacité de restaurer rapidement la disponibilité et l'accès aux données personnelles , en cas d'incident physique ou technique.
- Le processus de vérification, d’évaluation et d'évaluations régulières de l'efficacité des mesures techniques et de l'organisation afin de garantir la sécurité du traitement.
4. Ne pas communiquer les données à des tierces personnes ni les transférer à un tiers pays ou à une organisation internationale, à moins de disposer de l'autorisation expresse du responsable du traitement, dans les cas légalement admissibles.
VID peut communiquer les données à d'autres responsables du traitement, suivant les instructions du Client. Dans ce cas, le Client identifiera, préalablement et par écrit, l'organisme auquel les données doivent être communiquées, les données à communiquer et les mesures de sécurité à appliquer pour effectuer la communication.
5. Le Client autorise expressément le VID à contracter avec des tiers dont il juge l'intervention utile à la bonne exécution des services contractés, en l'informant préalablement de l'identité du tiers sous-traité et des services commandés. Pour toute autre finalité, la sous-traitance par VID avec d'autres sociétés pour la fourniture de services impliquant le traitement des données personnelles du responsable du traitement doit être autorisée par écrit par le Client.
Conformément à ce qui précède, VID informe le Client que l'entité Microsoft Ireland Operations Limited (dont le numéro de TVA est IE8256796U, et dont le siège social est situé Atrium Xxxxxxxx Xxxxx X, Xxxxxxxxxx Xxxx, Xxxxxxxxx Xxxxxxxxxx Xxxxxx, Xxxxxx 00, Xxxxxxx) sera le sous-traitant du service cloud Azure, sur ses serveurs situés sur le territoire de l'UE (Pays-Bas). Et dans le cas où le Client demande qu'au moment de la signature un certificat non qualifié à usage unique (OTC) soit généré au nom du signataire, celui-ci sera émis par l'autorité de certification FIRMAPROFESIONAL SA, (fournie avec le CIF A-62- 634068, et dont le siège social est Xxxxx Xxxxxxxx, 00, 00000 Xxxxxxxxx et tél. x00 00 000 00 00), sur ses serveurs situés dans l'UE et régis par les dispositions de la CPD et CP de cette entité et peut être trouvé à l'adresse xxxxx://xxx.xxxxxxxxxxxxxxxx.xxx/xxx, et par conséquent ces sociétés peuvent accéder aux données personnelles appartenant au client, ce qui est strictement nécessaire pour fournir les services sous-traités.
Le seul traitement de données des fichiers du responsable auquel Microsoft Ireland Operations Limited aura accès sera la garde des documents et des données des signataires que le responsable envoie au système ViD pour la prestation du Service, et d'autre part, FIRMAPROFESIONAL S.A. pour la prestation du Service sous-traité sera les noms et prénoms et le numéro de Carte Nationale d'Identité des signataires qui utilisent le Service ViDSigner.
En cas de souscription du service de gestion du processus de signature VIDsigner Docs, le client est expressément informé qu'il accepte que ledit service soit entièrement exploité par Qualita Solutions & Consulting S.L. avec laquelle VID a conclu le contrat de sous-traitance informatique correspondant, et par conséquent, les mêmes obligations exprimées dans les présentes leur seront applicables par extension.
En tant que responsable du traitement, le sous-traitant aura l'obligation de respecter les instructions du responsable. VID devra régir la nouvelle relation de sorte que le nouveau responsable soit soumis aux mêmes conditions (instructions, obligations, mesures de sécurité…) et avec les mêmes conditions formelles que lui, quant au traitement adéquat des données personnelles et à la garantie des droits des personnes concernées. En cas de non-respect par le sous-traitant, VID restera pleinement responsable face au responsable pour le respect desdites obligations.
6. Maintenir le devoir de secret quant aux données personnelles auxquelles elle a eu accès en vertu de la relation commerciale, même après la fin de cette dernière.
Toutes les données personnelles du Client faisant l'objet d'un traitement par VID seront considérées confidentielles et elles seront soumises au secret professionnel et elles resteront propriété exclusive du Client.
7. Garantir que les personnes autorisées à traiter des données personnelles s'engagent, expressément et par écrit, à respecter la confidentialité et les mesures de sécurité correspondantes, dont elles doivent convenablement rester informées.
8. Maintenir à la disposition du responsable la documentation justifiant le respect de l'obligation établie au paragraphe précédent.
9. Garantir la formation nécessaire en matière de protection des données personnelles des personnes autorisées à traiter des données personnelles.
10. Assister le responsable du traitement dans la réponse à l'exercice des droits suivants :
- Accès, rectification, suppression et opposition
- Limitation du traitement
- Transfert de données
- Ne pas faire l'objet de décisions individualisées automatisées (dont l'élaboration de profils)
Si les personnes concernées exercent auprès de VID leurs droits d'accès, de rectification, de suppression et d'opposition, de limitation du traitement, de transfert de données et qu’elles ne font pas l'objet de décisions individualisées automatisées, , celle-ci doit le communiquer par courrier électronique à l'adresse que lui indiquera le Client à tout moment. La communication doit être faite immédiatement et en aucun cas au-delà du jour ouvrable suivant la date de la réception de la demande, conjointement, le cas échéant, à d'autres informations qui pourraient être importantes pour répondre à la demande.
11. Il revient au responsable de faciliter le droit d'information lors de la collecte des données.
12. VID notifiera immédiatement le Client, dès qu'elle en aura connaissance, de violations de la sécurité des données personnelles à sa charge, conjointement avec toute l'information importante sur la documentation et la communication de l'incident, et à l'adresse que lui indiquera le Client à tout moment. La notification ne sera pas nécessaire s’il est peu probable que cette violation de la sécurité constitue un risque pour les droits et les libertés des personnes physiques.
Si l'on en dispose, l'information suivante sera au moins fournie :
- Description de la nature de la violation de la sécurité des données personnelles, et incluant, si possible, les catégories et le nombre approximatif d'intéressés concernés, et les catégories et le nombre approximatif de registres de données personnelles concernés.
- Le nom et les données de contact du délégué à la protection des données ou d'un autre point de contact auprès duquel l'on peut obtenir plus d'information.
- Description des éventuelles conséquences de la violation de la sécurité des données personnelles.
- Description des mesures adoptées ou des propositions pour remédier à la violation de la sécurité des données personnelles, y compris, le cas échéant, les mesures adoptées pour mitiger les éventuels effets négatifs.
S'il n'est pas possible de fournir l'information simultanément, et dans la mesure où elle ne l'est pas, l'information sera fournie progressivement sans retard injustifié.
Le responsable du traitement doit communiquer dans les délais les plus brefs les violations de la sécurité des données aux intéressés, s'il est probable que la violation puisse supposer un risque élevé des droits et des libertés des personnes physiques.
La communication doit être effectuée dans un langage clair et simple et devra, au moins :
- Expliquer la nature de la violation de données.
- Indiquer le nom et les données de contact du délégué à la protection des données ou d'un autre point de contact auprès duquel l'on puisse obtenir plus d'information.
- Décrire les conséquences éventuelles de la violation de la sécurité des données personnelles.
- Décrire les mesures adoptées ou proposées par le responsable du traitement pour remédier à la violation de la sécurité des données personnelles, y compris, le cas échéant, les mesures adoptées pour mitiger les effets négatifs éventuels.
13. Xxxxxx appui au responsable du traitement dans la réalisation des évaluations d'impact relatives à la protection des données, le cas échéant.
14. Assister, le cas échéant, le responsable du traitement dans la réalisation des consultations préalables à l'autorité de contrôle.
15. Mettre à la disposition du responsable toute l'information nécessaire pour démontrer le respect de ses obligations, ainsi que pour la réalisation des vérifications ou des inspections effectuées par le responsable ou par autre vérificateur autorisé par lui.
16. Implanter les mesures de sécurité pertinentes et respecter la législation en vigueur quant aux données personnelles traitées pendant la prestation des services objet de la relation commerciale, et, en outre, respecter ce qui sera décidé avec le responsable quant aux fins du traitement. En particulier, elle devra respecter les obligations établies pour le responsable du traitement par le RGPD et par la Loi Organique 3/2018, du 5 décembre, de Protection des Données et de Garantie des Droits Numériques.
Additionnellement, VID doit maintenir une attitude consciente, diligente et pro- active, en garantissant à tout moment le respect des éléments suivants :
- Effectuer une analyse de risques en vue de déterminer ses propres mesures de sécurité. Cette analyse se basera sur certaines méthodologies d'analyse de risques existantes et elle devra tenir compte, entre autres, des moyens utilisés, des risques dérivés des différents traitements qu'elle effectue et d'autres circonstances pouvant influencer la sécurité. Cette analyse doit être répétée périodiquement et en cas de changements importants. Il faudra également superviser l'efficacité des actions définies pour le traitement des risques identifiés.
- Appliquer les mesures techniques et d'organisation opportunes afin de garantir et de pouvoir démontrer que le traitement est réalisé conformément aux exigences de la législation en vigueur, aussi bien à l’égard des intéressés qu’à celui des autorités de supervision. Ces mesures devront en outre garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanente des systèmes et des services concernant le traitement.
- Les mesures choisies doivent tenir compte des éléments tels que la nature des données personnelles, le cadre d'application, le contexte et les fins du traitement, ainsi que le risque en matière de droits et des libertés des personnes. Ces mesures doivent également garantir le respect règlementaire depuis la conception elle-même ou depuis le début de chaque activité ou initiative concernant des données personnelles.
- Déterminer explicitement la manière selon laquelle seront appliquées les mesures de sécurité et quels seront les mécanismes utilisés pour vérifier que leur efficacité ne diminuera pas dans le temps, à cause de circonstances comme, par exemple, le développement de nouvelles technologies.
- Notifier immédiatement au responsable tout événement conséquence de la relation commerciale, ou toute sorte d'incidents sécuritaires se produisant pendant la prestation du service, et faciliter toute l'information importante pour la documentation et la communication de l'incident, selon ce qui est prévu dans le RGPD à cet effet.
- En cas de sous-traitance par VID, cette sous-traitance devra être soumise aux mêmes conditions et être réalisée de la même manière que ce qui est prévu pour le traitement par VID, pour le traitement adéquat des données personnelles et la garantie des droits des personnes concernées. Il faudra également indiquer tout ce qui précède dans un contrat de traitement de données entre VID et son sous-responsable, celui-ci restant à la disposition du responsable pour supervision en cas de demande.
- Sont interdits le transfert ou la communication de données personnelles sans autorisation préalable écrite du responsable, en particulier à des pays ne jouissant pas, au moins du même niveau de protection que le pays d'origine.
- Dans tous les cas, VID devra implanter des mécanismes afin de :
• Garantir la confidentialité, l'intégrité, la disponibilité et la résilience permanente des systèmes et des services de traitement.
• Restaurer rapidement la disponibilité et l'accès aux données personnelles, en cas d'incident physique ou technique.
• Vérifier et évaluer régulièrement, l'efficacité des mesures techniques et de l'organisation mise en place pour garantir la sécurité du traitement.
• Attribuer un pseudonyme et chiffrer les données personnelles, le cas échéant.
17. Xxxxxxxx, le cas échéant, un délégué à la protection des données et communiquer au responsable son identité et ses données de contact.
18. Restituer les données personnelles au responsable et, le cas échéant, les supports où elles figurent, après avoir effectué la prestation. La restitution doit comporter l'effacement total des données existant dans les équipements informatiques utilisés par VID. VID peut cependant conserver une copie, incluant les données dûment bloquées, tant que pourront dériver des responsabilités de l'exécution de la prestation.
6. Obligations du Client
En tant que responsable du traitement, le Client doit respecter ce qui suit :
1. Remettre au responsable les données auxquelles se réfère ce Contrat.
2. Effectuer, à la demande du responsable, une évaluation de l'impact des opérations de traitement sur la protection des données personnelles.
3. Effectuer les consultations préalables correspondantes.
4. Xxxxxxx, préalablement et pendant tout le traitement, au respect du RGPD de la part du responsable.
5. Superviser le traitement, en incluant la réalisation d'inspections et de vérifications.
7. Données personnelles des représentants des parties
Conformément à la réglementation en vigueur en matière de Protection des Données personnelles, les données personnelles qui figurent dans ce Contrat et celles dérivant de la relation entre les parties seront exclusivement traitées pour le maintien de la relation commerciale.
La base juridique pour le traitement des données est l'exécution correcte du présent Contrat. Il est nécessaire de fournir ces données car, en cas contraire, il serait impossible de gérer la relation commerciale.
Les données seront conservées pendant la durée de la relation et tant que leur suppression ne sera pas demandée, puis elles resteront bloquées pendant le délai de prescription de toutes les actions légales ou contractuelles applicables.
Les données ne seront pas cédées à des tiers et des transferts internationaux ne sont pas prévus, sauf obligation légale.
Les intéressés peuvent exercer leurs droits d'accès, de rectification, de suppression, de transfert et la limitation ou d'opposition par notification écrite à la partie correspondante, en s'adressant au délégué chargé de la protection des données, aux adresses indiquées dans cet Accord.
Les intéressés ont également le droit de réclamer auprès de l'Autorité de Contrôle (Agence Espagnole de Protection de Données : xxx.xxxx.xx).
Les signataires du présent Contrat déclarent savoir que le Délégué chargé de la Protection des Données est la personne chargée du respect de la réglementation en matière de protection des données. Le Client pourra entrer en contact avec le Délégué chargé de la Protection des Données de VID au courrier électronique suivant : xxx@xxxxxxxxxxx.xxx
Et conformément à la réglementation de protection des données applicable, les parties s'engagent également à informer les personnes de contact ou les autres employés dont les données personnelles seraient collectées dans le cadre du présent Contrat du traitement de toutes les questions énoncées aux points précédents.
8. Responsabilité
Chaque partie de ce Contrat sera tenue responsable des conséquences pouvant dériver du non-respect des obligations contractées en vertu de celui- ci, et elle assumera l’indemnisation nécessaire des dommages et intérêts qu'un tel non-respect pourrait provoquer à l'autre partie, au moyen de l'indemnisation correspondante, et qui inclura, à titre déclaratif :
- Les frais encourus pour sa défense face à d’éventuelles procédures de sanction prises par l'Agence espagnole de Protection de Données et les démarches successives ou par les propriétaires des données.
- Le montant de la sanction que cet organisme pourrait imposer, le cas échéant.
Si VID utilisait les données objet du présent Contrat à des fins propres, si elle le communiquait à des tiers ou si elle les utilisait en négligeant les clauses établies dans celui-ci, et concrètement si elle n'appliquait pas les mesures de sécurité nécessaires pour garantir la confidentialité, l'intégrité et la disponibilité de l'information, ou si elle négligeait l'un quelconque de ses termes ou la réglementation de protection des données en vigueur, elle sera considérée responsable du traitement pour ce traitement, et elle répondra des infractions encourues à l’égard des tiers concernés ou à l’égard de l'Administration Publique et judiciaire compétente.
9. Législation applicable et juridiction
Le présent Contrat sera régi par les clauses contenues dans celui-ci et, pour ce qui est non prévu par celles-ci, par les réglementations espagnole et européenne applicables en matière de traitement des données personnelles.
Pour toute question concernant l'interprétation ou l'application du présent contrat, les parties se soumettent expressément à la juridiction des Tribunaux de Barcelone en renonçant à leur propre juridiction.