Les conditions générales et modalités d’inscription font partie intégrante du contrat de formation. En conséquence, toute inscription vaut adhésion entière et sans réserve aux présentes conditions générales. Retrouvez ces CGV sur notre site –...
Conditions générales de vente et modalités d’inscription
Les conditions générales et modalités d’inscription font partie intégrante du contrat de formation. En conséquence, toute inscription vaut adhésion entière et sans réserve aux présentes conditions générales. Retrouvez ces CGV sur notre site – xxxx.xxxxxxxxxxx.xx
KPMG Academy se réserve la possibilité de modifier ou mettre à jour ses conditions générales à tout moment. Les conditions générales applicables au jour de la commande sont consultables sur le site xxx.xxxxxxxxx.xxxx.xx
Définitions
• « Abonnement » désigne l’offre d’abonnement souscrite par le Client via une lettre de mission et/ou un bulletin d’inscription et/ou une proposition commerciale permettant à ses salariés et dirigeants non-salariés de s’inscrire à des Formations dans les limites de l’Offre souscrite. L’abonnement prendra effet à la date de signature de l’Offre pour une durée d’un an. Aucune reconduction tacite n’est autorisée.
• « CGV » désigne les présentes Conditions Générales de Vente
• « KPMG Academy » est une association régie par la loi du 1er juillet 1901.
• « Offre » désigne l’offre de formation proposée par KPMG Academy, pouvant comprendre une lettre de mission et/ou un bulletin d’inscription et/ou une propositioncommerciale.
• « Client » représente la personne (physique ou morale) qui achète une ou plusieurs formation(s) pour un ou plusieurs Participants. Le Client est identifié sur le bulletin d’inscription ou en tant que destinataire d’une Offre émise par KPMG Academy.
• « Formation » désigne l’action de formation constituée d’une ou de plusieurs journées, consécutives ou non, et des temps de préparation et d’ingénierie pédagogique.
• « Participant » représente la personne physique désignée par le Client comme bénéficiant d’une Formation.
• « Réglementation applicable en matière de Protection des Données Personnelles » désigne les dispositions légales et réglementaires en vigueur relatives à l’informatique, aux fichiers et aux libertés, notamment la loi n°78-17 du 6 janvier 1978 dans sa dernière version en vigueur ainsi que le Règlement (UE) 2016/679 (règlement général sur la protection des données), à compter de sa date d’applicabilité.
• « Représentants de KPMG » désigne (i) KPMG Academy, ses adhérents, directeurs et employés ainsi que (ii) toute entité contrôlée ou détenue par KPMG Academy, ses associés, directeurs et employés ou (iii) toute autre entité, toute entité indépendante affiliée à KPMG International Limited, une société de droit anglais (« private company limited by guarantee »), via sa participation au réseau de cabinets membres indépendants, auquel KPMG Academy appartient, ses associés, directeurs et employés.
1. Modalités d’inscription
• Toute inscription à une Formation nécessite la communication par le Client de l’Offre signée par un représentant habilité du Client, principalement via le site internet KPMG Academy xxx.xxxxxxxxx.xxxx.xx
• Dans le cadre d’un Abonnement, le Client inscrira les participants aux formations directement sur le site xxx.xxxxxxxxx.xxxx.xx.
2. Conditions d’inscription
• L’inscription est effective à réception du bulletin d’inscription validement signé, à l’exception des Formations composées exclusivement de e-learning (Hors abonnement) pour lesquelles l’inscription est effective à réception du bulletin d’inscription t de sonpaiement.
• Les inscriptions sont enregistrées dans l’ordre de leur arrivée jusqu’à concurrence du nombre de places disponibles. Aucune demande reçue moins de 8 jours ouvrés avant le début de la formation ne sera prise en compte.
• Le Participant reçoit de KPMG Academy, avant le Formation, une convocation en précisant le lieu, la date et les horaires ainsi que le lien pour la signature de la feuille de présence et des questionnaires de satisfaction,
• Sauf cas de force majeure, KPMG Academy se réserve le droit de reporter ou d’annuler tout ou partie des Formations au plus tard 8 jours ouvrables avant le premier jour de la Formation et ce sans indemnités. KPMG Academy remboursera le Client des sommes éventuellement versées en cas d’annulation de la Formation.
• La facture, le certificat de réalisation et la feuille d’émargement signée (sauf Abonnement et E- learning) sont adressées au Client à l’issue du Formation. Le Participant doit avoir signé la feuille d’émargement matin et/ou après-midi. Les présentes CGV accompagnées du bulletin d’inscription ou de l’Offre valent convention de formation professionnelle.
3. Formations e-learning
• Des Formations pourront être dispensées à distance par l’intermédiaire de modules de formation dans un espace électronique sécurisé (LMS). Les conditions d’accès, d’évaluation et de reporting sur les modules seront précisées dans l’Offre ou dans un document écrit spécifiquement convenu entre le Client et KPMG Academy. Le périmètre des utilisateurs est circonscrit aux Participants qui devront respecter les règles d’usage de la plateforme électronique mise à leur disposition.
• Dans le cadre du E-learning, KPMG Academy consent au Client :
- l’ouverture d’accès au service de la plateforme LMS de KPMG Academy, au profit de l’utilisateur final « le participant », défini comme toute personne physique titulaire d’un compte d’ouverture de session utilisateur lui permettant d’accéder au(x) module(s)
- pendant une période de 6 (six) mois à compter de l’envoi du lien de connexion par KPMG Academy, période à l’issue de laquelle l’accès sera désactivé.
• Aucune action en responsabilité ne saurait être engagée à l’encontre de KPMG Academy pour les cas de panne relatifs à une plateforme propriété du Client, pour les opérations de maintenance, et, dans tous les cas, quant aux contraintes techniques liées au réseau internet. Si nécessaire, des tests préalables pourront être effectués pour vérifier la compatibilité de l’environnement technique requis. Les anomalies empêchant l’utilisation normale de tout ou partie des modules concernés par le Formation seront traitées par la partie mettant à disposition cet espace électronique sécurisé.
4. Coût d’inscription
• Le coût d’inscription comprend la formation et la documentation. Sauf accord écrit, les frais de transport, de restauration ou d’hôtellerie sont à la charge du Client.
5. Prise en charge par un organisme collecteur
• En cas de demande de prise en charge du coût d’inscription par un organisme paritaire collecteur agréé (« OPCO »), l’accord de prise en charge obtenu par le Client doit être adressé à KPMG Academy avant la fin de la Formation.
• En l’absence de transmission dudit accord dans les délais, la facture correspondante sera adressée au Client qui devra s’en acquitter avant d’en demander le remboursement éventuel à son OPCO.
• En cas de transmission dudit accord à KPMG Academy avant la fin du Formation :
• En cas de prise en charge totale du financement par un organisme tiers, la facture sera adressée directement à celui-ci par KPMG Academy sous réserve d’un accord de subrogation.
• En cas de prise en charge partielle du financement par un organisme tiers, la différence entre le coût d’inscription et le montant de la prise en charge sera facturée au Client qui s’engage à s’en acquitter. Le montant de la prise en charge sera facturé directement par KPMG Academy à cet organisme sous réserve d’un accord de subrogation.
• Une absence au Formation ne pouvant pas être prise en charge par un organisme tiers, donnera lieu à une facturation au Client dans les conditions précisées à l’article 6.
• Par exception, KPMG Academy ne gèrera pas la prise en charge par l’OPCO des Formations dans le cadre d’un Abonnement ou d’un Parcours et des e-learnings,
6. Conditions de paiement
• Sauf dispositions contraires dans l’Offre, les factures sont émises par KPMG Academy à la fin de la Formation ou à la fin de la première session de formation lorsque la Formation est composée de plusieurs sessions. Les factures émises par KPMG Academy sont payables comptant sans escompte dans un délai maximum de trente (30) jours à compter de la date d’émission de la facture.
• Par exception, pour les Cercles, si un client souhaite déroger au principe décrit ci-dessus et opte pour une facturation à la session, un montant complémentaire de 150 (cent cinquante euros) € HT pour traitement administratif sera facturé en sus du montant de la formation
• Par exception, le montant des formations exclusivement en e-learning sera facturé et dû par le Client dès l’inscription du Participant aux fins de valider celle-ci. Le montant de la formation e- learning sera dû que le Participant se soit ou non connecté.
• Par exception, le montant des formations achetées par des personnes physiques ou des sociétés dont le siège social est situé hors de France doit être payé avant le démarrage de la formation.
• Le montant de l’Abonnement sera facturé au Client à réception du bulletin d’inscription et devra être payé dans un délai maximum de trente (30) jours à compter de la date d’émission de la facture.
• Le prix de l’abonnement annuel étant forfaitaire, aucun avoir ne sera établit si le client ne l’a pas utilisé ou si l’abonnement a été utilisé partiellement.
• Le règlement s’effectuera par virement bancaire, le Client s’engageant à libeller son ordre de virement selon le format indiqué dans la facture.
• En cas de retard de paiement, KPMG Academy pourra suspendre toutes les commandes en cours et désactiver l’accès au(x) module(s) E-learning, sans préjudice de toute autre voie d’action.
• A défaut de paiement dans les délais, une pénalité de retard pourra être appliquée sur la base de trois fois le taux d’intérêt légal conformément à l’article L.441-10 du Code de commerce.
7. Annulation de Stage et désistement
• Tout Client, personne physique, dispose d’un délai de rétractation de 14 jours après l’envoi de sa demande d’inscription si le contrat a été conclu à distance ou hors établissement en vertu de l’article L.221-8 du Code de la consommation sans avoir à justifier de motifs ni à payer de pénalité. Le Client pourra exercer son droit de rétractation par l'envoi, avant l'expiration du délai précité, du formulaire de rétractation figurant en annexe des CGV, ou de toute autre déclaration, dénuée d'ambiguïté, exprimant sa volonté de se rétracter, à l'attention de KPMG Academy. KPMG Academy remboursera les sommes éventuellement versées par le Client correspondant à la partie de la Formation non exécutée.
• Pour tout Client, personne morale :
− Toute demande d’annulation reçue par écrit à l’adresse email Xxxxxxx-xxxxx@xxxx.xx entre le 15ème et le 7ème jour ouvrable avant le début de la Formation entraine la facturation de celui-ci à hauteur de 20% du prix total de la Formation.
− Toute demande d’annulation reçue par écrit à l’adresse email Xxxxxxx-xxxxx@xxxx.xx moins de 7 jours ouvrables précédent le début de la Formation entraine la facturation de celle-ci à hauteur de 100% du prix total de la Formation. Il est précisé que le montant facturé au Client ne constitue pas un versement libératoire de la participation au développement de la formation professionnelle et ne peut donc être imputé ou faire l’objet d’une demande de prise charge auprès d’un OPCO - circulaire DGEFP n° 2006-10 du 16.03.06 (BOT n° 2006-4 du 30.4.06).
• En cas d’absence ou d’abandon au cours d’une Formation, le montant du dédit s’élèvera au montant total des droits d’inscription liés aux journées de formation auxquels le Participant n’aura pas assisté.
• En cas d’empêchement d’un Participant, le Client peut lui substituer une autre personne, à condition que KPMG Academy ait été préalablement prévenu par écrit à l’adresse email Xxxxxxx-xxxxx@xxxx.xx. En cas de prise en charge du coût d’inscription par un OPCO, celui-ci devra être préalablement informé par le Client dudit remplacement ; le cas échéant, une demande de prise en charge rectificative doit être effectuée par le Client auprès de l’OPCO. KPMG Academy décline toute responsabilité quant aux conséquences qui pourraient résulter d’un absentéisme non justifié.
• Pour les formations e-learning, en cas d’empêchement d’un Participant pour quelque raison que ce soit, le Client ne pourra lui substituer aucune autre personne à partir du moment où les accès à la formation e-learning sont créés. En outre, le Client ne pourra demander le remboursement de la formation e-learning sous quelque forme que ce soit.
8. Responsabilité de KPMGAcademy
• KPMG Academy ne peut être tenu pour responsable des conséquences résultant de mauvaises interprétations ou d’un mauvais usage du contenu de la Formation par le Client ou l’un de ses Participants.
• KPMG Academy n’a aucune obligation autre que celles mentionnées dans son Offre ou les présentes CGV. KPMG Academy se réserve le droit de remplacer un animateur si des circonstances indépendantes de sa volonté l’y obligent et se réserve le droit, sans indemnité de quelque nature que ce soit, d’exclure de la Formation tout Participant dont le comportement en gênerait le bon déroulement ou contreviendrait aux présentes CGV ou au règlement intérieur de KPMG Academy.
• KPMG Academy ne peut être tenu pour responsable à l’égard du Client en cas d’inexécution totale ou partielle de ses obligations résultant d’un événement de force majeure, en ce inclus la maladie ou l’accident d’un animateur de Formation expert dans son domaine, et toute circonstance échappant au contrôle raisonnable de KPMG Academy et notamment les grèves des réseaux de transport.
• La responsabilité de KPMG Academy et de ses représentants pour tout dommage ou perte direct(e) subi(e) par le Client est limitée aux montants facturés et encaissés au titre du Formation concerné. Les obligations contractuelles de KPMG Academy se prescriront par un an à compter de la fin de la Formation, et ce par dérogation aux dispositions de l’article L.110-4 du Code de commerce sauf à l’égard des consommateurs conformément à la prescription quinquennale de droit commun. Aucune réclamation ne pourra être faite à l’encontre de KPMG Academy passé ce délai.
9. Confidentialité
• Le Client et KPMG Academy s’engagent à garder confidentiels les documents et les informations qui les concernent mutuellement et réciproquement à l’occasion de la mise en œuvre de la Formation ou dans le cadre des échanges intervenus antérieurement à la conclusion de l’Offre ou la signature du bulletin d’inscription.
• Dans le cadre de Formations Inter-Entreprises, il est rappelé aux Participants une obligation de discrétion pour toutes les informations et données dont ils auraient à prendre connaissance concernant d’autres Clients à raison de leurs échanges avec d’autres Participants. KPMG Academy décline toute responsabilité pour la divulgation, la révélation ou l’utilisation, même accidentelle, par un Participant, d’informations d’une nature confidentielle qui concerneraient le Client.
• Le Client accepte d’être cité par KPMG Academy comme client de ses offres de services à des fins de référencement ou de propositions à l’attention de ses prospects et de sa clientèle, ou en vertu de l’application des dispositions légales et réglementaires qui exigent cette divulgation.
10. Supports pédagogiques
• Un Support pédagogique se définit comme l’ensemble des moyens et des ressources permettant de dispenser le contenu d’une Formation, et peut prendre la forme de documents, notes, classeurs, fichiers, supports matériels ou intangibles, etc.
• KPMG Academy ne peut garantir que les informations contenues dans les supports pédagogiques au titre de la Formation continueront à être valables à une date ultérieure. KPMG Academy n’a aucune obligation de mise à jour après la date d’animation du contenu de la Formation et de ses Supports pédagogiques, qui ne sauraient être interprétés sans les commentaires oraux qui les accompagnent. Le cas échéant, ses Supports sont élaborés en fonction des normes, des référentiels ou de la règlementation en vigueur à la date d’animation de la Formation.
• Les informations contenues dans les Supports pédagogiques ne sont pas destinées à traiter des particularités d’une situation réelle ou supposée se rapportant à une opération particulière du Client. Toute conclusion découlant d’une telle situation ou d’une telle opération nécessite une analyse approfondie par des professionnels Adhoc et ne peut en aucun cas être uniquement basée sur les informations contenues dans ces Supports.
11. Utilisation de services ou solutions de tiers
• Pour mener à bien la formation, KPMG Academy pourra recourir aux services ou solutions de tiers (notamment des hébergeurs, éditeurs de plateformes collaboratives ou de solutions d’échanges de fichiers, ou autres prestataires de services de type cloud) dans les conditions suivantes:
− Les Supports pédagogiques élaborés par KPMG Academy dans le cadre de la Formation peuvent faire l’objet d’un hébergement sur des serveurs gérés par KPMG Academy, les Entités membres du réseau KPMG ou par des prestataires externes, sous réserve de respecter strictement les politiques de sécurité applicables à KPMG Academy et les dispositions légales applicables.
− Le Client reconnaît et accepte les caractéristiques et les risques inhérents au réseau Internet et aux services de télécommunications.
− Le recours à certaines solutions technologiques pourra être soumis à l’acceptation, par les utilisateurs du Client, de conditions d’utilisationspécifiques.
− KPMG est dégagé de toute responsabilité en cas de défaillance de sécurité ou de perte de données du fait d’une utilisation d’une solution technologique non autorisée ou non-conforme aux présentes CGV ou aux termes et conditions du fournisseur de la solution technologique.
− KPMG ne garantit pas les performances techniques des solutions technologiques et ne sera pas tenu responsable en cas d’indisponibilité temporaire d’une solution technologique.
12. Propriété intellectuelle
• Sauf indication contraire spécifiée dans l’Offre, KPMG Academy conserve les droits de propriété intellectuelle relatifs au contenu, aux Supports pédagogiques et aux autres ressources mises en œuvre par KPMG Academy afin d’animer les Formations, quelle qu’en soit la forme (papier, électronique, numérique, oral …). Les Supports pédagogiques sont remis aux Participants à titre personnel, qui disposent d’un droit d’utilisation individuel non cessible. Toute reproduction, publication, adaptation, modification, traduction, commercialisation et diffusion, totale ou partielle, en ce inclus les modules de e-learning, par le Client ou un Participant, envers des tiers non participants au Formation concerné est interdite.
• KPMG Academy demeure propriétaire de ses outils, méthodes, et savoir-faire développés antérieurement ou à l’occasion de l’animation d’un Formation au profit du Client. Le nom et le logotype de KPMG Academy ne pourront être cités ou reproduits, de quelque façon que ce soit, sans son accord préalable écrit.
• Le Client s’engage à ne pas faire directement ou indirectement de la concurrence à KPMG Academy en cédant ou en communiquant des documents issus de ce dernier à un concurrent de KPMG Academy.
13. Particularités des Stages Intra-Entreprise
• Le suivi pédagogique (évaluations, feuilles de présence, etc.) sera effectué directement par KPMG Academy, sauf mention contraire écrite dans l’Offre, auquel cas :
− Le Client devra prévoir deux exemplaires de la liste de présence (une pour lui, une pour KPMG Academy).
− La liste des Participants et les feuilles de présence devront être remises à KPMG Academy avant la date de la formation. Les animateurs de KPMG Academy se chargeront de faire signer les feuilles de présence aux Participants.
• L’organisation logistique de la formation (convocation des Participants, suivi des inscriptions, réservation et préparation de la salle, mise à disposition de matériel tel que paperboard, vidéoprojecteur etc…), l’impression des Supports pédagogiques ainsi que, le cas échéant, la gestion des pauses et du déjeuner pour les Participants et les animateurs seront pris en charge par le Client, sauf mention contraire écrite dans l’Offre.
• Les frais de déplacement et de séjour engagés par les Participants ou pour leur compte seront directement payés par le Client. Les frais de déplacement et de séjour engagés par les formateurs de KPMG Academy sont à la charge du Client.
• KPMG Academy décline toute responsabilité quant aux conséquences qui pourraient résulter d’un absentéisme imprévu des Participants ou d’une organisation logistique imparfaite.
14. Cession et sous-traitance
• Aucune Partie ne peut céder les droits et obligations découlant du Contrat sans le consentement préalable et écrit de l'autre Partie, sauf s'il s'agit d'un transfert au profit d'un Représentant de KPMG, un tel transfert étant alors libre.
• KPMG Academy est autorisée à sous-traiter tout ou partie des prestations objet de l’Offre. Toutes les obligations du Client qui en découlent ne valent qu’à l’égard de KPMG Academy, laquelle demeure responsable à l’égard du Client de toutes les obligations résultant de l’Offre.
15. Données à caractère personnel
Les dispositions du présent article intègrent les termes contenus dans le bulletin d’inscription à propos du Traitement des Données à caractère personnel.
Les termes commençant par une majuscule ont le sens qui leur est attribué par la Règlementation applicable en matière de protection des Données à caractère personnel, sous réserve des termes déjà définis au Contrat.
• KPMG Academy et le Client s'engagent à respecter la Règlementation applicable en matière de protection des Données à caractère personnel et a prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des Données à caractère personnel auxquelles elles ont respectivement accès, et notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
• KPMG Academy est également tenu par la déclaration de confidentialité KPMG Academy, accessible sur xxx.xxxx.xx, rubrique « Déclaration de confidentialité », dont le Client déclare avoir pris connaissance et en accepter les termes. La dernière version en ligne de cette déclaration fait foi.
1. Traitements opérés par KPMG Academy en qualité de Sous-traitant
• KPMG Academy traite les Données Personnelles du Client et/ou des collaborateurs du Client à des fins d’organisation et de réalisations des Formations et gestion de l’Offre (traitement de l’inscription, gestion des évaluations et des attestations délivrées par KPMG Academy) ; (les finalités décrites ci-dessus étant désignées ensemble les « Finalités du Traitement »).
Pour la réalisation de l’Offre, les dispositions de l’annexe « Data processing agreement » sont applicables.
2. Traitements opérés par les Parties en qualité de Responsable de traitement distincts
• KPMG Academy et le Client collectent et traitent les Données Personnelles du Client et du Prestataire dans le cadre de la gestion de la relation d’affaires qui les lie. Et dans ce cas agissent respectivement en qualité de Responsable de traitement distincts.
• Les Parties seront amenées à se confier mutuellement des Données Personnelles à des fins de gestion de la relation d'affaires, notamment en se remettant des documents contenant des Données Personnelles, généralement des salariés ou de fournisseurs. S’agissant des Données Personnelles qui ont été confiées directement ou indirectement pour son compte, il appartient à chaque Partie de s’assurer qu’elles ont été collectées auprès des Personnes Concernées (telles que les salariés fournisseurs) de manière licite, loyale et transparente.
• KPMG Academy en sa qualité de Responsable de Traitement peut être amené à traiter les Données Personnelles du Client et/ou des collaborateurs du Client à des fins de communications y compris à des fins de prospection commerciale ; d’administration, de tests et de support sur les outils et solutions informatiques que KPMG Academy utilise dans le cadre de ses activités (messagerie, outils métier, etc.), d’hébergement de ces outils et solutions, d’archivage et de reprographie
; d’envoi de la newsletter KPMG Academy et des informations sur les offres de formation KPMG Academy ;
• Les Parties s'engagent à se transmettre les coordonnées de leurs Délégués à la protection des données ou les coordonnées de la personne en charge des questions liées au Traitement des Données à caractère personnel dans le cadre du Contrat.
• Pour toute question relative aux Traitements réalisés par KPMG Academy et l’exercice des droits, les personnes concernées peuvent contacter le Délégué à la protection des données de KPMG Academy sur le site xxx.xxxx.xx à la rubrique
« Gérez vos données ».
• Les Parties s'engagent à ne pas utiliser les Données Personnelles des collaborateurs collectés pour d'autres finalités que celles liées à la gestion de la relation commerciale et à leur assurer un droit d'accès, de rectification, un droit d'opposition au Traitement de leurs Données Personnelles pour des motifs légitimes, ainsi qu'un droit de limitation du Traitement, un droit à la portabilité de leurs Données Personnelles et un droit de suppression des Données Personnelles les concernant. Les collaborateurs peuvent exercer ces droits en contactant le Responsable de Traitement concerné. Dans l'hypothèse où le Responsable de Traitement concerné ne donnerait pas suite à la demande, formulée par la personne concernée, cette dernière pourra le cas échéant introduire une réclamation auprès de l'autorité de contrôle compétente.
• Les Parties s’engagent à répondre aux demandes des personnes concernées dans un délai d’un mois et, le cas échéant au plus tard dans un délai de 3 mois à compter de leur réception. Les Parties s’engagent également se notifier toutes éventuelles violations des Données Personnelles des collaborateurs du Responsable de traitement concerné.
16. Qualité desprestations
• KPMG Academy apporte le plus grand soin à l’élaboration, l’animation et à la mise en œuvre des Formations. Des questionnaires d’évaluation sont systématiquement remis à chaque Participant à l’issue de la Formation. Ils font l’objet d’une lecture attentive qui permet à KPMG Academy d’améliorer la qualité des Formations dispensées.
• Si la qualité des Formations ne correspondait pas aux engagements contractuels, le Client est invité à le signifier par écrit à l’attention de Monsieur Xxxxxxxx Xxxxxx, KPMG Academy, Tour Eqho, 0 xxxxxx Xxxxxxxx, XX 00000, 00000 Xxxxx la Défense Cedex.
17. Droit applicable et compétencejuridictionnelle
• Les termes de l’Offre et les présentes CGV sont régis par le droit français et constituent l’ensemble contractuel régissant les Formations animées par KPMG Academy.
• Toute contestation ou différend résultant de l’interprétation ou de l’application de l’une des présentes dispositions, à défaut d’un accord amiable entre le Client et KPMG Academy, sera de la compétence exclusive du tribunal compétent du ressort de la Cour d’appel de Paris, sauf dispositions d’ordre public contraires prévoyant la compétence d’une autre juridiction et dont pourrait bénéficier un Client consommateur.
MODÈLE DE FORMULAIRE DE RÉTRACTATION
(Xxxxxxxx compléter et renvoyer le présent formulaire uniquement si vous souhaitez vous rétracter du contrat.)
A l'attention de KPMG Academy, à l’adresse postale suivante : Tour EQHO, 0 Xxxxxx Xxxxxxxx, XX 00000 – 00000 Xxxxx la Défense ou par courrier électronique à l’adresse email suivante : Xxxxxxx-xxxxx@xxxx.xx Je/nous (*) vous notifie/notifions (*) par la présente ma/notre (*) rétractation de la formation précisée ci-dessous :
Nom du (des) consommateur(s) : ………………………………………………………………………………………………
(Si applicable) Nom de la société/employeur : …………………………………………………………………………………………….
………………………………………………………………………………
Signature du (des) consommateur(s) (uniquement en cas de notification du présent formulaire sur papier) : Date : …………………………................
(*) Xxxxx la mention inutile.
Le présent « Data Processing Agreement » (« DPA ») est applicable dès l’entrée en vigueur du Contrat entre KPMG Academy, et le Client. Définitions
Dans le cadre du présent DPA, les termes ci-après ont la signification suivante :
•la « Réglementation » désigne la loi française n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, ainsi que le règlement du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ainsi que toutes les autres lois et réglementations applicables relatives au traitement de données personnelles ou ayant un impact sur ces traitements.
•Les termes « données à caractère personnels » (ci-après « données personnelles »), « responsable du traitement », « sous-traitant », « personne concernée », « analyse d’impact », « violation » et « traitement » ont la même signification que celle applicable dans la Réglementation.
•« Contrat » désigne tout acte juridique liant le Client et KPMG tel une lettre de mission ou tout autre contrat auquel le présent document est annexé.
•« KPMG » ou « le cabinet » désigne l’entité juridique de KPMG signataire du contrat ainsi que ses associés, administrateurs, collaborateurs ainsi que les autres entités françaises membres du réseau KPMG et leurs collaborateurs et associés.
•« Services » désigne, s’ils ne sont pas déjà définis dans le Contrat, les services fournis dans le cadre du Contrat
Article 1 : Objet et champ d’application
Nonobstant toute disposition contraire, les stipulations du présent DPA s’ajoutent et font partie intégrante du Contrat liant KPMG et le Client. Le présent DPA n’a pas vocation à remplacer toute autre disposition relative aux traitements de données personnelles présente au Contrat.
En cas de conflit entre les dispositions du présent document et celles des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les termes du présent document prévaudront.
Les présentes clauses ont pour objet de garantir la conformité le règlement (UE 2016/67 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Les présentes clauses s’appliquent aux traitements de données à caractère personnel tels que décrits en annexe du présent document. Les annexes A et B font parties intégrantes du présent DPA.
Article 2 : Rôle des parties
A l’occasion de l’exécution des Services, KPMG peut être amené à traiter des données à caractère personnel confiées par le Client. Dans le cadre du présent engagement, le Client est responsable du traitement et KPMG est sous-traitant des données à caractère personnel traitées pour le compte du Client dans le cadre de ses Services.
Article 3 : Description des traitements
Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du Client, sont précisés à l’annexe A.
Article 4 : Instructions
KPMG ne traite les données à caractère personnel du Client que sur instruction documentée de ce dernier, à moins que le cabinet ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis. Dans ce cas, KPMG informe le Client de cette obligation juridique, sauf si la loi le lui interdit pour des motifs importants d’intérêt public.
Des instructions peuvent également être formulées ultérieurement par le Client. Ces dernières devront être documentées au sein d’un avenant et pourront faire l’objet d’une facturation supplémentaire. KPMG informe le Client si une instruction donnée lui semble constituer une violation de la Réglementation.
Article 5 : Durée du traitement
Le traitement par KPMG se limite à la durée précisée à l’annexe A.
Article 6 : Sécurité du traitement
KPMG met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe B pour assurer la sécurité des données traitées pour le compte du Client. Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
KPMG n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du Contrat. KPMG veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Lesdits collaborateurs suivent une formation annuelle de sensibilisation aux traitements de données à caractère personnel et sont tenus à une stricte obligation de confidentialité.
Si le Client demande à KPMG de mettre en œuvre des mesures de sécurité supplémentaires, d’organisation spécifiques, ou tout autre type d’instruction supplémentaire après la date de ratification du Contrat, les Parties conviennent de s’entendre quant aux mesures, leur mise en œuvre et de la répartition des coûts engendrés (les coûts devant être supportés par le Client). KPMG ne sera tenu à aucune mise en œuvre de ces mesures et instructions avant tout accord établi entre les Parties.
Article 7 : Audit et conformité
Sauf disposition contraire inscrite dans le Contrat ou dans la lettre de mission liant les parties, et uniquement sur demande écrite (dans la limite d’une demande par an), KPMG fournira au Client un rapport de synthèse interne ou provenant d’un auditeur (sélectionné par KPMG sur accord du Client) concernant la conformité des traitements de données personnelles opérés pour le compte du Client et le respect des obligations énoncées dans les présentes clauses.
Si à la lecture de ce rapport, le Client n’est pas convaincu de la conformité du cabinet au présent document, KPMG mettra à la disposition du Client, à la demande de ce dernier dans un délai raisonnable, aux frais du Client et dans la limite d’une fois par an, tout document justificatif de sa conformité au présent document dans ses locaux afin d’échanger sur le rapport avec le Client.
Si le Client n’est toujours pas convaincu, il pourra demander dans la limite d’une demande par an, la conduite d’un audit des mesures de sécurité organisationnelles et physiques au sein des locaux et installations de KPMG par un auditeur indépendant, dont l’identité devra être préalablement convenue par les deux parties. L’audit sera effectué à la charge exclusive du Client et devra faire l’objet d’un préavis de quinze (15) jours ouvrés.
Les parties s’engagent à mettre à la disposition de l’autorité de contrôle compétente, dès que celle-ci en fait la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.
Article 8 : Recours à des sous-traitants ultérieurs
KPMG dispose de l’autorisation générale du Client pour ce qui est du recrutement de sous-traitants ultérieurs sur la base de la liste convenue en Annexe A. KPMG informe spécifiquement par écrit le Client de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins quinze (15) jours ouvrables à l’avance, donnant ainsi au Client suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. En l’absence d’opposition de la part du Client, ce dernier est réputé accepter la modification de la liste des sous-traitants ultérieurs.
Lorsque KPMG recrute un sous-traitant ultérieur au moyen d’un contrat, le cabinet impose au sous-traitant ultérieur des obligations aussi contraignantes en matière de protection des données que celles imposées à KPMG en vertu des présentes clauses. KPMG veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu de la Réglementation.
KPMG demeure pleinement responsable, à l’égard du Client, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur.
Article 9 : Transferts internationaux
Tout transfert de données personnelles en dehors de l’Espace Economique Européen devra être effectué soit (i) vers un pays bénéficiant d’une décision d’adéquation de la Commission européenne, soit (ii) au moyen d’un mécanisme de transfert tel que prévu au Règlement.
Le Client reconnaît que KPMG peut être amené à transférer des données vers un membre du réseau international KPMG au moyen d'un document ratifié par l'ensemble du réseau KPMG et régissant les transferts au sein du réseau KPMG. Ce document reflète les exigences réglementaires modifiées suite à la décision « Xxxxxxx 2 » et comprend les clauses contractuelles types mises à jour par la Commission européenne le 4 juin 2021 ainsi que les exigences qui en découlent, y compris les études d'impact des transferts.
Article 10 : Assistance au Client
1. KPMG informe promptement le Client de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le Client ne l’y ait autorisé.
2. KPMG prête assistance au Client pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement.
3. KPMG apporte une assistance raisonnable au Client pour garantir le respect par ce dernier des obligations suivantes, et ce compte tenu de la nature du traitement et des informations dont dispose KPMG :
a. L’obligation de procéder à une analyse d’impact relative à la protection des données lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
b. L’obligation de consulter l'autorité de contrôle compétente préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présente un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ;
c. L’obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant le Client si KPMG a connaissance que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes ;
d. Les obligations prévues à l’article 32 du règlement (UE) 2016/679.
KPMG se réserve le droit de facturer son assistance au Client lorsque les demandes de ce dernier sont jugées non raisonnables par le cabinet.
Article 11 : Mesures techniques et organisationnelles
Les parties définissent à l’annexe B les mesures techniques et organisationnelles mise en œuvre par KPMG dans le cadre des présentes.
Article 12 : Notification de violations de données à caractère personnel
En cas de violation de données à caractère personnel en rapport avec des données traitées par KPMG pour le compte du Client, le cabinet en informe le Client dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :
1. Une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
2. Les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;
3. Ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
Article 13 : Conditions supplémentaires
Le Client reconnait que, le cas échéant, et afin de bénéficier de certains services à valeur ajoutée tels que des outils et applications en ligne, lui-même, ainsi que ses sociétés affiliées, employés, dirigeants et autres personnes ayant recours à ces services, pourront avoir à consentir à des conditions d’utilisation et politiques de confidentialité supplémentaires émises par KPMG, tout autre membre du réseau international KPMG ou un partenaire du cabinet.
Article 14 : Non-respect des clauses et résiliation
1. Le Client est en droit de résilier le Contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si :
- Le traitement de données à caractère personnel par KPMG a été suspendu par le Client conformément au point 1 et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai de trois
(3) mois à compter de la suspension ;
- KPMG est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement (UE) 2016/679 ;
- KPMG ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du règlement (UE) 2016/679.
2. KPMG est en droit de résilier le Contrat dans la mesure où après avoir informé le Client que les instructions de ce dernier enfreignent la Réglementation, le Client insiste pour que ses instructions soient suivies.
3 À la suite de la résiliation du Contrat, KPMG supprime, selon le choix du Client inscrit en Annexe A, toutes les données à caractère personnel traitées pour le compte du Client et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au Client et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. KPMG continue de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.
En l’absence d’instruction du client, les données à caractère personnel seront supprimées à l’issue du Contrat.
Le Client reconnait que KPMG peut conserver les informations nécessaires à l’exercice de ses droits devant les autorités compétentes. Les données à caractère personnelles concernées seront supprimées à l’issue du délai de prescription applicable. Pendant cette période, KPMG s’engage à assurer le même niveau de sécurité des données confiées que celui applicable au présent document.
Annexe A : Description des traitements de données personnelles
1.Coordonnées
Sous-traitant : DPO KPMG- Tour Eqho 2 av Gambetta – 94500 Paris la Défense, xx-xxxxxxx@xxxx.xx 2.Description du traitement
a.Objet du traitement
KPMG Academy est autorisé à traiter des données à caractère personnel pour le compte de responsable de traitement en vue de fournir les services suivants :
•Réalisation de l’Offre de Formation ; b.Nature du traitement
Les opérations de traitement se caractérisent par :
•Collecte
•Consultation
•Stockage / enregistrement
•Suppression
•Modification
•Utilisation
•Organisation/ structuration c.Finalités
Les traitements de données personnelles ont pour finalité :
•Organiser les sessions de formation
•Adresser les convocations
•Création et gestion des accès aux plateformes de formations
•Création et mise à disposition des certifications de réalisations et des attestations de formation d.Catégories de données
Les catégories de données personnelles traitées sont les suivantes :
•Données nominatives (nom, prénoms)
•Données de contact (email, numéro de téléphone)
•Données liées à la vie professionnelle (fonction) e.Catégories de personnes concernées
•Employés et assimilés du responsable de traitement f.Sort des données
A l’issue du Contrat, les données sont :
Supprimées ou, renvoyées au responsable de traitement et suppression des copies. g.Sous-traitants ultérieurs
KPMG est autorisé à recourir aux services des présents sous-traitants ultérieurs :
Sous-traitant ultérieur | Traitement sous-traité | Localisation |
Training Orchestra | Gestion des données des participants | FRANCE |
INPULSE SIGN-IN | Plateforme de signature digitalisée et enquêtes de satisfaction | FRANCE |
UPILITY | Plateforme d’apprentissage en ligne | FRANCE |
Annexe B : Mesures de sécurité techniques et organisationnelles
Article 1 : Organisation de la Sécurité au cours de l’exécution des Prestations
Le responsable de la sécurité, nommément désigné par KPMG pour la prestation, est le correspondant permanent du Client pour toute question relative à la sécurité, notamment pour tout ce qui concerne la gestion des incidents. Une méthode pour communiquer entre le Client et KPMG doit être définie et validée par les Parties.
KPMG s’engage par ailleurs à respecter les règles de sécurité informatique du Client qu’il lui aura transmis au préalable ainsi que les instructions, informations et chartes informatiques relatives à la sécurité informatique en vigueur chez le Client.
Article 2 : Sensibilisation
Quel que soit leur statut, tous les futurs collaborateurs sont soumis à une vérification des antécédents comprenant la vérification des références, des diplômes d'études, de l'identité et du casier judiciaire.
La sécurité des systèmes d’information et la protection des données font partie du programme de formation obligatoire que chaque collaborateur KPMG doit suivre à son arrivée au sein du cabinet. Ce sujet est également inclus dans l’engagement annuel signé par tous les collaborateurs de KPMG.
Par ailleurs, tous les collaborateurs de KPMG sont astreints au secret professionnel dans le cadre de leur contrat de travail et soumis à un devoir de discrétion pour les faits, actes et renseignements dont ils peuvent avoir connaissance dans le cadre de leur activité, et après cessation de cette activité. Ces obligations sont par ailleurs rappelées dans le cadre du programme de formation pour les nouveaux collaborateurs.
Article 3 : Certification sécurité des Systèmes d’Information
KPMG informe avoir obtenu la certification ISO 27001 :2017 et la certification PASSI.
Article 4 : Sécurité du Système d’Information du Prestataire KPMG assure la sécurité de ses ressources matérielles et logicielles. A ce titre, KPMG met en œuvre toutes les mesures nécessaires pour :
- sécuriser son infrastructure technique, les applications, les logiciels, réseaux, les matériels et plus généralement tous les outils et ressources mis en place pour les besoins des Services ;
- maîtriser et contrôler les accès aux ressources informatiques utilisées pour les besoins des Services ;
- surveiller, détecter et journaliser les événements de sécurité permettant d’identifier d’éventuels incidents portant sur des tentatives d’accès illicites aux ressources du SI utilisées pour les besoins des Services, ou susceptibles d’engendrer une indisponibilité de ces ressources, une atteinte à leur intégrité ou à leur confidentialité.
Article 5 : Accès au Système d’Information du Client
Dans le cas où les Prestations nécessitent une interconnexion entre les systèmes d’information du Client et celui de KPMG, celui-ci s’engage à :
- Communiquer les dispositions de sécurité mises en place ;
- Respecter les procédures de connexion à distance spécifiées par le Client ;
- Mettre en place une gestion des accès et une traçabilité des connexions au système d’information du Client.
Article 6 : Protection des Données du Client
KPMG reconnaît l'importance pour le Client de disposer d’un système informatique sécurisé, notamment en termes d'intrusion logique et/ou physique, de confidentialité, d'intégrité et de sauvegarde des Données.
Dans ce cadre, KPMG s'engage à mettre en place et maintenir un niveau de sécurité optimal au niveau physique, logique et organisationnel, en vue notamment d’assurer la sécurité, la confidentialité et l’intégrité des informations et des Données du Client, et ainsi d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.
Les mesures de sécurité mises en place par KPMG devront inclure la sauvegarde régulière des Données du Client. KPMG sauvegarde régulièrement les données des utilisateurs. Ces sauvegardes sont stockées chiffrées dans un endroit sécurisé et de haute redondance auxquels seuls les administrateurs ont accès. Seuls les administrateurs peuvent déchiffrer les sauvegardes afin de les restaurer le cas échéant. En tout état de cause, KPMG assure la sauvegarde des informations qu’il traite dans son système d’information, et permet à tout moment la restauration du Service et des Données, dans le respect des Niveaux de Services.
KPMG s'engage à :
- Xxxxxxx et gérer les Données du Client dans le respect de la politique de classification de l'information qui lui aura été communiquée par le Client.
- N’utiliser les informations et Données du Client que pour les besoins de la réalisation des Services.
- Mettre en place les procédures et les moyens techniques permettant de chiffrer les données sensibles de la prestation au moyen d'outils conformes à l'état de l'art.
- Mettre en place les procédures et les moyens techniques permettant :
•de limiter l’accès aux données qui lui sont confiées par le Client pour les besoins de réalisation des Services, aux seuls personnels expressément habilités par KPMG (procédures de gestion des comptes et des droits d'accès) ;
•de limiter au strict nécessaire les comptes à privilèges et les comptes de service, de les gérer et de les surveiller quotidiennement ;
•de contrôler, lors des demandes d’accès aux données, la légitimité de l’accédant par la vérification de son identité et de ses droits d’accès ;
•les sites KPMG sont équipés d’un réseau Wi-Fi avec certificat machine et authentification de l’utilisateur sur l’annuaire Active Directory.
•de journaliser les accès aux données. Les journaux devront être conservés 1 an.
•de désactiver immédiatement tout compte d'accès de ses personnels intervenant sur la ou les Prestations dans les cas suivants : suspension ou fin de mission, suspicion de compromission ou compromission.
•d’effectuer régulièrement des revues sur les comptes et les droits d'accès, a minima 1 fois par an.
En outre, l’accès réseau aux machines hébergeant le Service de KPMG est protégé par un ensemble de firewall et de routeurs. Ces systèmes sont configurés par KPMG pour n’autoriser que le trafic provenant des clients (HTTPS) et les accès des administrateurs du système accrédité par KPMG et membres de son personnel.
Le DMSSI (Descriptif des Mesures de Sécurité du Système d’Information) de KPMG, librement accessible sur xxxx.xx, décrit l’ensemble les mesures de sécurité techniques et organisationnelles mises en place.
Article 7 : Sécurité des locaux dans lesquels les Prestations sont réalisées
KPMG assure la protection physique des locaux dans lesquels est effectuée la Prestation et dans lesquels sont stockées les Données du Client, notamment avec un contrôle des accès. KPMG s'engage à conserver les traces des accès durant une période de X mois.
Dans l’hypothèse où KPMG envisage de faire réaliser la prestation dans d'autres locaux que ceux initialement déclarés au Client, il en avertira le Client à l’avance, dans un délai raisonnable, et lui communiquera les moyens de protection physique mis en œuvre.
L’accès physique aux systèmes informatiques hébergeant le Service du Prestataire est assuré par XX . De plus, les données sont stockées sur des disques chiffrés, interdisant l’accès physique aux personnels non autorisés par KPMG. KPMG s’engage à ce que les Prestations ne subissent aucune perturbation du fait d’un quelconque déménagement.
Article 8 : Sous-traitance
KPMG garantit au Client que le sous-traitant respectera les engagements en termes de sécurité SI prévus au Contrat pour les prestations qui lui sont sous-traitées. KPMG est responsable vis-à-vis du Client de toute défaillance ou manquement de son sous-traitant aux clauses de sécurité SI.
Article 9 : Gestion des incidents
KPMG met en place les moyens techniques et organisationnels permettant :
- de détecter au plus tôt les incidents de sécurité concernant les systèmes d’information utilisés pour les besoins des Services ;
- de réagir efficacement en fonction de la nature des incidents détectés et d’en limiter les impacts ;
- de résoudre rapidement et formellement tous les incidents de sécurité.
KPMG avertit le Client de tout incident avéré affectant la sécurité des systèmes d’information utilisés pour la ou les Prestations, dès la confirmation de l’incident.
Article 10 : Continuité d'activité
KPMG s'engage à :
- garantir la continuité, la qualité et la disponibilité des Services
- identifier tout risque dans le cadre de la réalisation des Services pouvant affecter la bonne fin d’un projet ou la continuité d’activité du Client. A ce titre, dans le cas d'une mise en production, KPMG s'assure qu'un roll-back est toujours possible afin de pouvoir revenir à l'état précédent.
Pour assurer la continuité des Services, KPMG est tenu de mettre en place un Plan de continuité d’activité et de reprise d’activité ainsi qu’un plan de gestion de crise.
Article 11 : Audits de sécurité
KPMG s’engage à accepter tout audit diligenté par le Client, sous les conditions suivantes :
- Périmètre : limité à la prestation fournie,
- Fréquence : une fois par an,
- Intervenants : validé par KPMG et par le client,
- Intervention : prévenir dans un délai de 30 jour calendaire.
Article 12 : Assurance
KPMG devra être titulaire d’une police de cyber assurance, souscrite auprès d'une compagnie d'assurance notoirement solvable et établie en France.
Article 13 : Conformité
Le SMSI a fait l’objet d’un audit de surveillance en juin 2022, pour le maintien de la certification ISO 27001/2017, et fera l’objet d’audits annuels de surveillance conformément à la norme ISO/IEC 27001 : 2017.
Un audit annuel est également réalisé par un cabinet tiers pour vérifier la conformité de KPMG aux règles édictées par KPMG International en termes de sécurité des systèmes d’information et de protection des données.
Les équipes du laboratoire Cyber sécurité de KPMG, qualifié PASSI, ainsi que des cabinets tiers, réalisent régulièrement des missions d’audit de sécurité et de tests d’intrusion des infrastructures et des applications de KPMG. Les applications de KPMG exposées sur Internet sont systématiquement testées dans la phase de mise en production.