CONDITIONS GENERALES DE SERVICES
CONDITIONS GENERALES DE SERVICES
Le présent document ainsi que l’ensemble des informations associées sont confidentiels et ne peuvent faire l’objet d’aucune divulgation sans l’accord exprès d’INAGUA.
Version du 15/01/2024
<.. image(Une image contenant texte, capture d’écran, diagramme, Police Description générée automatiquement) removed ..>
CONDITIONS GENERALES D’UTILISATION
TOUTE UTILISATION EFFECTUEE A QUEL QUE TITRE QUE CE SOIT DE LA SOLUTION IMPLIQUE OBLIGATOIREMENT L’ACCEPTATION SANS RESERVE, PAR L’UTILISATEUR, DES PRESENTES CONDITIONS GENERALES D’UTILISATION (CGU).
Article 1. Objet
Les présentes Conditions Générales d’Utilisation (ci-après les « CGU ») sont conclues entre d’une part la société INAGUA, Société par Actions Simplifiée (SAS), au capital social de 49.228€, immatriculée au RCS d’EVRY sous le numéro 752 181 727, et dont le siège social est situé 0 xxx xx Xxxxxxx Xxxxx, 00000 Xxxxxx-xxx-Xxxx (ci-après « INAGUA ») et l’Utilisateur d’autre part (ci-après désignées collectivement « les Parties »).
Les présentes CGU ont pour objet de fixer les dispositions contractuelles relatives aux droits et obligations respectifs des Parties dans le cadre de l’utilisation de la Solution éditée et exploitée par INAGUA accessible à l’adresse suivante : XXXXxxX.xxx (ci-après le « Site »).
Article 2. Définitions
Dans le cadre des présentes CGU, les termes auront la signification suivante :
▪ « Accord-cadre » : désigne les conditions contractuelles qui définissent les droits et les obligations des Parties dans le cadre de l’utilisation de la Solution par le Client Professionnel et de la fourniture des Services Applicatifs par INAGUA. L’Accord-cadre s’applique aux Administrateurs de l’Environnement de Travail au niveau d’un Environnement de Travail, et, par délégation, aux Administrateurs de Modules et aux Acteurs.
▪ « Acteur » : désigne tout Utilisateur, habilité à utiliser un ou plusieurs Modules au sein d’un Environnement de Travail.
▪ « Administrateur de Module » : Utilisateur ayant le droit de modifier caractéristiques des Modules au sein d’un Environnement de Travail. Il hérite des prérogatives de l’Accord-cadre liées aux règles de bonne utilisation dans la construction des Modules.
▪ « Administrateur de l’Environnement de Travail » : désigne un Utilisateur ayant créé un Environnement de Travail ou ayant été habilité en tant que tel par un autre Administrateur d’Environnement de Travail. L’Administrateur d’Environnement de Travail est en charge du respect et du suivi administratif de l’Accord- cadre dans le temps et de son bon déroulement : niveau de souscription, suivi des consommations et des facturations.
Il peut nommer d’autres Administrateurs de l’Environnement de Travail qui hériteront des mêmes prérogatives.
Il peut nommer des Initiateurs de Modules qui seront habilités à créer des Modules rattachés à l’Environnement de Travail qui hériteront des prérogatives de l’Accord-cadre liées aux règles de bonne utilisation dans la construction des Modules.
▪ « Anomalie » : désigne toute non-conformité ou tout défaut de conception, de réalisation, de performance, bogue, erreur d’un des éléments composant la Solution, se manifestant par des difficultés de fonctionnement empêchant en tout ou partie l’exploitation de la Solution.
▪ « Anomalie Bloquante » : désigne toute Anomalie rendant impossible l’utilisation normale de tout ou partie des fonctionnalités de la Solution.
▪ « Anomalie Majeure » : désigne toute Anomalie diminuant l’ergonomie, les performances ou la disponibilité des fonctionnalités de la Solution, de façon telle qu’elle affecte l’utilisation de la Solution ou l’une de ses fonctionnalités par le Client et ait une répercussion négative mais non bloquante pour l’exécution par les Utilisateurs de leurs tâches.
▪ « Anomalie Mineure » désigne toute Anomalie qui n’est ni Majeure, ni Bloquante. Elle n’entraîne qu’une simple gêne, tolérable temporairement, dans l’utilisation des fonctionnalités.
▪ « Application » : désigne un ensemble de Modules permettant d’adresser un besoin du Client. Le Client pourra concevoir et utiliser une ou plusieurs Applications sur son Environnement de Travail.
▪ « Client Professionnel » ou « Client » : désigne toute personne qui garantit avoir la qualité de professionnel, telle que définie par le droit et la jurisprudence française, accédant à la Solution et souscrivant à l’une des Offres Payantes proposées par INAGUA aux fins de bénéficier des Services Applicatifs selon l’Offre souscrite.
▪ « Conditions Générales d’Utilisation » ou « CGU » : désigne les présentes conditions contractuelles régissant l’utilisation de la Solution par tout Utilisateur.
▪ « Conditions Générales de Service » ou « CGS » ou « Contrat » : désigne ensemble les contrats régissant la relation entre INAGUA et les Utilisateurs, composé :
– Des Conditions Générales d’Utilisation ;
– De l’Accord-cadre ; et
– Des Conditions Particulières.
Ces documents s’expliquent mutuellement.
▪ « Conditions Particulières » : désigne les fiches descriptives des Offres sur lesquelles figurent les informations techniques, commerciales et juridiques. Les Conditions Particulières ont vocation à préciser l’Accord Cadre, voire à y déroger sur des mesures spécifiques.
Les « Conditions Particulières » ont pour objet de :
– Présenter les fonctionnalités de la Solution selon l’Offre souscrite ;
– Présenter les modalités particulières de l’utilisation de la Solution et les Services Applicatifs afférents ; et
– Présenter les conditions financières pour chaque Offre .
▪ « Contenus » : désigne l’ensemble des marques, logos, slogans, graphismes, photographies, animations, vidéos, solutions logicielles, code informatique, textes, éléments visuels et sonores, et de façon générale tous les éléments et contenus publiés par INAGUA attachés à la Solution et aux Services Applicatifs. Les Contenus sont la propriété exclusive d’INAGUA.
▪ « Données » : désigne l’ensemble des informations et ressources détenues par le Client et utilisées par lui dans le cadre des Services, ainsi que les éventuels résultats produits par le Client lors de son utilisation des Services.
▪ « Environnement de Travail » : désigne un espace créé par un Utilisateur qui devient alors Administrateur de cet Environnement de Travail. Un Environnement de Travail est destiné à héberger les Modules applicatifs qui seront rendus accessibles aux Utilisateurs habilités.
▪ « Fiche » : occurrence d’un Formulaire de Module renseignée avec des données.
▪ « Formulaire » : assemblage des informations qui font partie d’un Module sur une page : type de données, propriétés, ordre, présentation, …
▪ « Identifiants » : désigne l’email et le mot de passe qui permettent à un Utilisateur de se connecter à la Solution.
▪ « Informations confidentielles » : désigne toutes les informations financières, juridiques, techniques, commerciales, stratégiques, ainsi que les données, documents de toute nature, dessins, concepts, secrets de fabrication, savoir-faire, systèmes d’information, logiciels, transmis ou portés à la connaissance d’une Partie au titre des CGU, quels que soient la forme et/ou les supports utilisés.
▪ « Internet » : désigne l’ensemble de réseaux interconnectés, lesquels sont localisés dans toutes les régions du monde.
▪ « Initiateur de Modules » : désigne un Utilisateur nommé par un Administrateur d’Environnement de Travail ayant le droit de créer des Modules au sein de cet Environnement de Travail. Il hérite des prérogatives de l’Accord-cadre liées aux règles de bonne utilisation dans la construction des Modules.
▪ « Module » : désigne un objet structuré principal hébergé sur un Environnement de Travail. Un Module est un formulaire de données auquel on associe un processus, des droits d’accès et des règles. Le Module est à la fois un contenant (définition du formulaire, du process, des droits d’accès et des règles) et un contenu (ensemble des fiches créées sur la base de ce formulaire).
▪ « Offre » : désigne le niveau de service, les contraintes et le tarif associés à un Environnement de Travail tels que prévus dans les Conditions Particulières. Désigne ensemble et indistinctement l’Offre Gratuite et/ou les Offres Payantes.
▪ « Offre Gratuite » : désigne l’Offre commerciale d’Environnement de Travail « FREE », accessible à tout Utilisateur qu’il soit Client Professionnel ou non.
▪ « Offre Payante » : désigne l’Offre commerciale d’Environnement de Travail « BUSINESS » ou «
CORPORATE », uniquement accessible aux Clients Professionnels.
▪ « Pièces Jointes » : désigne l’ensemble des fichiers, quels que soient leurs formats, enregistrés par les Acteurs ou générés automatiquement par la Solution sur le Service Applicatif. Les modalités de stockage des Pièces Jointes sont détaillées ci-après au Contrat.
▪ « Rôle » : désigne un groupe d’Acteurs au sein d’un Module possédant les mêmes droits sur les Données du Module et en charge des mêmes actions.
▪ « Services Applicatif » : désigne à la fois la Solution, les modalités d’accès et les modalités d’hébergement des Données et des Pièces Jointes. Les Services Applicatifs sont fournis par plusieurs sociétés juridiquement indépendantes de la société INAGUA.
▪ « Site » : désigne le site Internet édité par INAGUA, accessible à l’adresse URL XXXXxxX.xxx.
▪ « Solution » : désigne la solution logicielle accessible en mode SaaS (abréviation de « Software as a Service » qui désigne une typologie de logiciel accessible via un navigateur internet compatible) éditée et exploitée par INAGUA ainsi que toutes ses composantes graphiques, sonores, visuelles, logicielles, base de données et textuelles. La Solution rassemble un ensemble de fonctionnalités à destination du Client selon l’Offre souscrite.
▪ « Utilisateur » : désigne toute personne qui a créé un compte sur la Solution quels que soient ses usages ultérieurs.
Article 3. Acceptation des CGU
L’utilisation des fonctionnalités de la Solution et des Services Applicatifs implique l’acceptation des CGS, intégrant les présentes CGU.
Ainsi, l’Utilisateur s’engage à lire attentivement les CGU lors de l’accès au Site, et est invité à les imprimer et à en conserver une copie.
Il est précisé que les présentes CGUS disponibles dans le footer du Site au moyen d’un lien hypertexte peuvent ainsi être consultées à tout moment
Article 4. Spécifications techniques
L’accès au Service Applicatif nécessite les pré-requis techniques suivants :
• L’accès à Internet
• L’utilisation des versions récentes des navigateurs suivants : Google Chrome, Edge (recommandé) et Firefox (supporté).
En utilisant la Solution, l’Utilisateur reconnaît disposer des moyens et compétences nécessaires à l’utilisation des fonctionnalités proposées par la Solution.
Les équipements nécessaires à l’accès et à l’utilisation de la Solution sont à la charge de l’Utilisateur, de même que les frais de télécommunications éventuellement induits par leur utilisation.
L’Utilisateur accepte de se conformer aux spécifications techniques relatives au dépôt ou à l’insertion de Données sur la Solution, et notamment toute limite de poids, taille, dimension, caractère, formatage ou autre relative aux Données qu’il entendrait déposer sur la Solution à quelque titre que ce soit.
L'Utilisateur est invité à consulter les restrictions liées à l'Offre souscrite.
Article 5. Conditions d’accès et d’inscription
Tout Utilisateur peut accéder au Site, utiliser la Solution et bénéficier des Services Applicatifs. Pour cela, l’Utilisateur est invité à suivre les modalités décrites ci-après :
5.1. Inscription en tant qu’Utilisateur
Tout Utilisateur souhaitant avoir un accès à l’ensemble des fonctionnalités de la Solution proposée sur le Site devra préalablement s’inscrire sur le Site.
L’inscription sur le Site est gratuite.
Pour s’inscrire sur le Site, l’Utilisateur est invité à fournir son adresse courriel et à créer ses Identifiants.
L’Utilisateur s’engage à fournir à INAGUA des données exactes, loyales et à jour, qui ne portent pas atteinte, à quelque titre que ce soit, aux droits des tiers et à communiquer à INAGUA toute mise à jour nécessaire des données communiquées lors de son inscription.
Enfin, l’Utilisateur devra valider les présentes Conditions Générales d’Utilisation avant de finaliser son inscription. L’adresse mail et le mot de passe constituent les Identifiants de l’Utilisateur.
Ce mot de passe devra présenter un niveau de complexité suffisant conforme à l'état de l'art et notamment les recommandations de l'ANSSI. INAGUA décline toute responsabilité quant aux conséquences dommageables que pourraient avoir l’utilisation d’Identifiants multiples pour un seul Client.
L’Utilisateur est entièrement responsable de l’exactitude et de la mise à jour des données communiquées dans le cadre de son inscription.
5.2 Habilitation en tant qu’Administrateur
Tout Utilisateur peut concevoir et tester gratuitement des Applications à l’aide de la Solution y compris dans le cadre de l’Offre Free. Il devient alors Administrateur.
Les Administrateurs d’Applications :
• Rattachent les Applications qu’ils conçoivent au(x) contrat(s) au(x)quel(s) il(s) est/sont habilité(s).
• Habilitent des Utilisateurs à utiliser leur Module en les nommant Acteurs dans des Rôles.
• Habilitent des homologues Administrateurs en leur conférant des droits identiques aux leurs.
• Habilitent des Administrateur de Module aux Applications qu'ils administrent.
5.3. Habilitation en tant qu’Administrateur de l’Environnement de Travail
Tout Utilisateur habilité comme Administrateur de l’Environnement de Travail pourra :
• Habiliter des homologues Administrateurs de l’Environnement de Travail ;
• Habiliter des Administrateurs à rattacher leurs Module au Contrat.
5.4. Habilitation en tant qu’Administrateur de module
Les Administrateurs de Module peuvent modifier la structure et les caractéristiques de l’Application. Ils peuvent également ajouter ou supprimer des Acteurs dans les Rôles des modules.
Le Client est seul responsable des habilitations qu’il délivre à ses Acteurs, qu’ils soient internes ou externes à sa société.
5.5. Gestion des Identifiants
Tout Utilisateur est seul responsable de l'utilisation et de la garde de ses Identifiants, et/ou des actions faites sur la Solution.
Dans le cas où un Utilisateur divulguerait ou utiliserait ses Identifiants de façon contraire à leur destination, INAGUA se réserve la possibilité de supprimer les accès de l’Utilisateur sans préavis ni indemnité.
En aucun cas, INAGUA ne saurait être tenue responsable en cas d’usurpation de l’identité d’un Utilisateur. Tout accès et action effectués à partir du compte seront présumés être effectués par l’Utilisateur concerné, dans la mesure où INAGUA n’a pas pour obligation et ne dispose pas des moyens techniques lui permettant de s’assurer de l’identité des personnes ayant accès au Site à partir d’un de ses Identifiants.
5.6. Désinscription
L’Utilisateur peut à tout moment fermer son Environnement de Travail en adressant un courriel à l’adresse : xxxxxxxx@xxxxxxx.xxx.
INAGUA procèdera dans les meilleurs délais à la désactivation de l’Environnement de Xxxxxxx et adressera au Client un courriel lui confirmant la suppression définitive de l’ensemble de ses éléments sur le Site.
Article 6. Services
Les fonctionnalités associées à la Solution aux Services Applicatifs sont différentes selon l’Offre souscrite par le Client :
6.1 Services accessibles à tout Utilisateur
Tout Utilisateur peut accéder gratuitement au Site et bénéficier des Services Applicatifs dans le cadre de l’Offre Free dans les limites précisées dans les Conditions Particulières.
6.2 Services accessibles dans le cadre d’Offres payantes
Dans le cadre d’Offres payantes (Offre Free, Offre Business ou encore Offre Corporate) le Client peut bénéficier de fonctionnalités complémentaires telles que précisées dans les Conditions Particulières :
• Augmentation des limites d’utilisation de la Solution (nombre d’Utilisateurs ; Fiches ; Modules).
• Services Applicatifs complémentaires ;
• Stockage de pièces jointes ;
• Options payantes (telles que la signature électronique, initiation de paiement, etc).
Article 7. Obligation des Parties
7.1. Obligations des Utilisateurs
Dans le cadre de l’utilisation de la Solution, chaque Utilisateur s’engage à ne pas porter atteinte à l’ordre public et à se conformer aux lois et règlements en vigueur, à respecter les droits des tiers et les dispositions des présentes CGU.
Chaque Utilisateur a pour obligation de :
• Se comporter de façon loyale et raisonnable à l’égard d’INAGUA et des tiers ;
• Être honnête et sincère dans les informations fournies à INAGUA et, le cas échéant aux autres Utilisateurs ;
• Utiliser la Solution conformément à son objet tel que décrit dans les présentes CGU ;
• Ne pas détourner la finalité de la Solution pour commettre des crimes, délits ou contraventions réprimés par le code pénal ou par toute autre disposition légale ou réglementaire ;
• Respecter la vie privée des tiers et la confidentialité des échanges ;
• Respecter les droits de propriété intellectuelle d’INAGUA portant sur les éléments de la Solution et du Site et le cas échéant, les droits de propriété intellectuelle des autres Utilisateurs ;
• Ne pas chercher à porter atteinte au sens des articles 323-1 et suivants du code pénal aux systèmes de traitements automatisés de données mis en œuvre sur la Solution, notamment par l’intermédiaire de pratiques telles que le web-scraping ;
• Ne pas modifier les informations mises en ligne par INAGUA ou par un autre Utilisateur ;
• Ne pas utiliser la Solution pour envoyer massivement des messages non sollicités (publicitaires ou autres) ;
• Ne pas utiliser de dispositif de type « VPN » ou assimilés en vue d’outrepasser les éventuelles restrictions géographiques associées aux Services ; et
• Ne pas diffuser des données ayant pour effet de diminuer, de désorganiser, de ralentir ou d’interrompre le fonctionnement normal d’INAGUA ou de la Solution/du Service DAMAaaS.
Dans le respect des dispositions légales et réglementaires en vigueur et conformément à la loi du 29 juillet 1881 relative à la liberté de la presse, l’Utilisateur s’engage à ne pas diffuser de message ou information :
• Constitutifs de dénigrement fautif visant INAGUA ou les Utilisateurs de la Solution ;
• Contraires à l’ordre public et aux bonnes mœurs ;
• À caractère injurieux, diffamatoire, raciste, xénophobe, révisionniste ou portant atteinte à l'honneur ou à la réputation d'autrui ;
• Incitant à la discrimination, à la haine d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée ;
• Menaçant une personne ou un groupe de personnes ;
• À caractère pédophile ;
• Incitant à commettre un délit, un crime ou un acte de terrorisme ou faisant l'apologie des crimes de guerre ou des crimes contre l'humanité ;
• Incitant au suicide ;
• Permettant à des tiers de se procurer directement ou indirectement des logiciels piratés, des numéros de série de logiciels, des logiciels permettant des actes de piratage et d'intrusion dans les systèmes informatiques et de télécommunications, des virus et autres bombes logiques et d'une manière générale tout outil logiciel ou autre permettant de porter atteinte aux droits d'autrui et à la sécurité des personnes et des biens ;
• À caractère commercial (prospection, racolage, prostitution…) ;
• Relatif à des produits non conformes ou contrefaits ;
• Relatif à l’utilisation non autorisée de matériel protégé par le droit d’auteur.
Constituent notamment une utilisation illicite de la Solution :
• Compromettre l'intégrité, la performance ou la sécurité de la Solution, des systèmes ou de l’infrastructure d’INAGUA de quelque manière que ce soit. Cela inclut le téléversement ou la transmission de données contenant ou redirigeant vers un composant ou une technologie nuisible – tel qu'un virus, cheval de Troie, ou tout élément similaire – qui accède, télécharge, entrave ou interagit autrement avec la Solution de manière non autorisée ou illégale.
• Contourner toutes les mesures de sécurité ou d'authentification, y compris le piratage des Services ou l'accès non autorisé à un ordinateur ou réseau.
• Désassembler à rebours, décompiler, traduire ou tenter de découvrir le code source ou les composants sous- jacents des modèles, algorithmes et systèmes des grands modèles de langage connectés à la Solution (sauf dans la mesure où de telles restrictions sont contraires à la loi applicable).
• Imposer une charge déraisonnable sur l’infrastructure d’INAGUA en dépassant les paramètres décrits dans la documentation de la Solution, en utilisant une quantité déraisonnable de ressources, ou en utilisant des systèmes automatisés liés à la Solution de manière déraisonnable.
• Utiliser toute méthode automatisée ou programmatique pour extraire des données ou des résultats des Services IA, y compris le scraping, la récolte web, ou l'extraction de données web (sauf tel que permis à travers l'API).
• Intercepter toute transmission vers ou depuis la Solution ou un serveur de réseau lié à la Solution.
• Tenter de faire l’une des actions ci-dessus est également inacceptable, tout comme encourager ou permettre à un tiers de le faire.
Constituent des notamment une utilisation inacceptable de la Solution :
• Utiliser la Solution contrairement à la loi applicable, aux règlements ou aux politiques gouvernementales ;
• Porter atteinte ou violer les droits d'autrui, y compris les droits de propriété intellectuelle d'autrui (tels que les secrets commerciaux, droits d'auteur, marques de commerce, marques de service, brevets et droits moraux) ou leur droit d'utiliser la Solution, ou téléverser des données que l’Utilisateur ne possède pas ou pour lesquelles l’Utilisateur n’a pas l'autorisation d'utiliser ;
• Utiliser la Solution dans le but de toute activité violant la vie privée d'un individu, comme le suivi ou la surveillance d'un individu sans son consentement, la reconnaissance faciale d'individus privés, la classification d'individus sur la base de caractéristiques protégées, l'utilisation de biométrie pour l'identification ou l'évaluation, et la collecte ou divulgation illégale d'informations personnelles identifiables ou de dossiers protégés éducatifs, financiers ou autres.
• Générer du contenu haineux, harcelant ou violent, tel que du contenu qui exprime, incite ou promeut la haine basée sur l'identité, du contenu ayant pour intention de harceler, abuser, menacer ou intimider un individu, ou du contenu qui promeut ou glorifie la violence ou célèbre la souffrance ou l'humiliation d'autrui.
• Générer du code conçu pour perturber, endommager ou accéder sans autorisation à un système informatique (par exemple, créer des logiciels malveillants) ou s'engager dans des activités à caractère frauduleux, diffamatoire ou trompeur, incluant les arnaques, comportements inauthentiques coordonnés, faux engagements en ligne, plagiat, désinformation ou spam.
• Utiliser la Solution pour développer des modèles qui concurrencent les fournisseurs de grands modèles de langage (fournisseurs de Services IA) connectés à la Solution.
• Utiliser la Solution contrairement aux normes communautaires.
En tout état de cause les Utilisateurs sont expressément informés qu’INAGUA pourra suspendre pendant une période raisonnable après avoir émis un avertissement préalable :
• La fourniture des Services Applicatifs aux Utilisateurs qui publient fréquemment des contenus manifestement illicites ;
• Le système de traitement des Notifications et des Réclamations aux Utilisateurs qui fournissent fréquemment des Notifications de Contenus illicites et des Réclamations manifestement infondés par l’intermédiaire notamment du système interne de traitement des réclamations prévues aux article 16 et 20 du DSA.
7.2. Obligations d’INAGUA
L’obligation générale d’INAGUA est une obligation de moyens. Il ne pèse sur INAGUA aucune obligation de résultat ou de moyens renforcée.
INAGUA s’engage à mettre tous les moyens en œuvre pour assurer une continuité d’accès et d’utilisation du Site.
INAGUA attire toutefois l’attention des Utilisateurs sur le fait que les protocoles actuels de communication via Internet ne permettent pas d’assurer de manière certaine et continue la transmission des échanges électroniques (messages, documents, identité de l’émetteur ou du destinataire).
Par ailleurs, INAGUA s’engage à apporter aux Utilisateurs une information claire, transparente et loyale sur les modalités de son intervention.
Article 8. Responsabilité
8.1. Principes généraux
L'Utilisateur est informé et reconnait qu'il est le seul responsable de la sécurité, confidentialité et conformité des Données qu'il va enregistrer et stocker dans la Solution.
INAGUA décline toute responsabilité notamment :
• En cas d’impossibilité d’accéder temporairement à la Solution pour des opérations de maintenance technique ou d’actualisation des informations publiées. Les Utilisateurs reconnaissent que la responsabilité d’INAGUA ne saurait être engagée en cas de dysfonctionnements ou d’interruptions desdits réseaux de transmission ;
• En cas d’attaques virales, intrusion illicite dans un système de traitement automatisé de données ;
• En cas d’utilisation anormale ou d’une exploitation illicite de la Solution par un Utilisateur ou un tiers ;
• Relativement au contenu des sites internet tiers vers lesquels renvoient des liens hypertextes présents sur le Site ;
• En cas de non-respect des CGU imputable aux Utilisateurs ;
• En cas de contenu illicite téléchargé via la Solution et portant atteinte aux droits de propriété intellectuelle ou assimilés détenus par des tiers ; et
• En cas de cause étrangère non imputable à INAGUA.
En cas d’utilisation anormale ou d’une exploitation illicite de la Solution, l’Utilisateur est alors seul responsable des dommages causés aux tiers et des conséquences des réclamations ou actions qui pourraient en découler.
8.2. Statut d’hébergeur
Les Utilisateurs reconnaissent qu’INAGUA a la qualité d’hébergeur au sens de l’article 6 I 2° de la loi du 21 juin 2004 pour la confiance dans l’économie numérique dite LCEN. A ce titre, INAGUA se réserve la possibilité de retirer tout contenu qui lui aura été signalé et qu’elle considèrera comme manifestement illicite au sens de l’article 6 I 2° de la LCEN.
La notification des contenus manifestement illicites par un Utilisateur ou tout autre tiers doit se faire par :
• Courrier électronique à l’adresse : xxxxxxxx@xxxxxxx.xxx.
• Xxxxxxxx en recommandé avec avis de réception à : INAGUA, solution DAMAaaS, 0X xxx xx Xxxxxxx Xxxxx, 00000 Xxxxxx-xxx-Xxxx.
A ce titre, INAGUA se réserve la possibilité de retirer tout contenu qui lui aura été signalé et qu’il considèrera comme illicite au sens de l’article 3 du Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 (ci-après « DSA »), à savoir « toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de prestations, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ».
La notification de ces Contenus devra se faire par l’intermédiaire du formulaire dédié à cet effet sur la Solution répondant aux exigences de l’article 16 du DSA (ci-après « la Notification »). Il est fortement recommandé aux Utilisateurs de compléter dûment ce formulaire afin de permettre à INAGUA d’avoir une connaissance effective des contenus contestés et des justifications lui permettant de considérer si ces contenus sont illicites.
Par ailleurs, l’Utilisateur s’engage dans ce cadre à adresser une Notification de bonne foi affirmant que les informations fournies au sein de ce formulaire sont exactes et complètes.
A compter de la réception de la Notification, INAGUA s’engage à prendre une Décision concernant les informations auxquelles la Notification se rapporte, en temps opportun, de manière diligente, non arbitraire et objectif (ci-après
« la Décision »). L’Utilisateur sera également informé si la Décision a été prise par l’utilisation de moyens automatisés.
En tout état de cause, INAGUA s’engage à :
• Accuser réception de la Notification de l’Utilisateur et à l’informer de sa Décision prise sur le Contenu signalé, si les coordonnées électroniques ont été précisées par lui ;
• Informer l’auteur du Contenu de sa Décision ;
• Informer ces Utilisateurs (les auteurs de la Notification et dudit Contenu) des voies de recours possibles de sa Décision et notamment l’accès à un système interne de traitement des réclamations.
A l’exception de Contenu commercial trompeur et de grande diffusion, chaque Décision prise par INAGUA sera accompagnée d’un exposé des motifs clair et spécifique notamment lorsqu’elle entraîne :
• Une restriction de visibilité dudit Contenu ;
• Une suspension de tout ou partie des Services Applicatifs proposés sur la Solution ;
• Une suspension ou suppression du Compte concerné.
En cas de Contenu conduisant à soupçonner qu’une infraction pénale présentant une menace pour la vie ou la sécurité d’une ou plusieurs personnes a été commise, est en train d’être commise ou est susceptible d’être commise, INAGUA en informera promptement les autorités répressives compétentes.
8.3. Système interne de traitement des Réclamations
Tout Utilisateur a la possibilité, pendant six mois à compter de leur réception, de formuler des Réclamations à INAGUA concernant les décisions prises par lui en rapport avec des Contenus illicites ou incompatibles avec ses CGUS (ci-après « les Réclamations »).
Ces réclamations pourront porter sur la question de savoir :
• S’il y a lieu ou non de retirer les informations, de rendre l’accès à celles-ci impossible ou de restreindre leur visibilité ;
• S’il y a lieu ou non de suspendre ou de mettre fin, en tout ou en partie, à la fourniture des Services Applicatifs aux Utilisateurs ;
• S’il y a lieu ou non de suspendre ou de supprimer le compte des Utilisateurs ;
• S’il y a lieu ou non de suspendre la capacité de monétiser les informations fournies par les Utilisateurs, de mettre fin à cette capacité ou de restreindre d’une autre manière cette capacité.
En tout état de cause, INAGUA s’engage à traiter en temps opportun et de manière non discriminatoire, diligente et non arbitraire chacune des réclamations reçues.
INAGUA s’engage également à informer, dans les meilleurs délais, les Utilisateurs concernés par les Réclamations, de la possibilité d’avoir accès à un règlement extrajudiciaire des litiges tel que prévu à l’article 21 du DSA.
La responsabilité d’INAGUA ne pourra pas être mise en œuvre si la non-exécution ou le retard dans l’exécution de l’une de ses obligations décrites dans les présentes CGU découle d’un cas de force majeure.
Il y a force majeure en matière contractuelle lorsqu’un évènement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion des CGU et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur.
Outre les cas de force majeur découlant de l’application de l’article 1218 du Code civil et de la jurisprudence l’interprétant, les Parties retiennent expressément que constituent des cas de force majeur : les grèves, les pannes du réseau électrique, les pannes de réseau Internet, les pannes de réseau téléphonique, les attaques informatiques et les épidémies ou crises sanitaires.
Si l’empêchement est temporaire, l’exécution de l’obligation est suspendue à moins que le retard qui en résulterait ne justifie la résolution des CGU. Si l’empêchement est définitif, les CGU sont résolues de plein droit et les Parties sont libérées de leurs obligations dans les conditions prévues aux articles 1351 et 1351-1 du Code civil.
En cas de survenance d’un évènement revêtant les caractéristiques de la force majeure, INAGUA s’efforcera d’informer l’Utilisateur dès que possible.
Article 10. Propriété intellectuelle
L’acceptation des présentes CGU vaut reconnaissance par les Utilisateurs des droits de propriété intellectuelle d’INAGUA sur la Solution et ses Contenus.
La Solution et les Contenus sont la propriété exclusive d’INAGUA et ne peuvent être reproduits, utilisés ou représentés sans l’autorisation expresse d’INAGUA, sous peine de poursuites judiciaires.
Toute représentation ou reproduction, totale ou partielle, de la Solution et de ses Contenus, par quel que procédé que ce soit, sans l’autorisation préalable expresse d’INAGUA est interdite et constituera une contrefaçon sanctionnée par les articles L.335-2 et suivants et les articles L.713-2 et suivants du Code de la propriété intellectuelle.
En particulier, INAGUA interdit expressément :
• L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de sa base de données sur un autre support, par tout moyen et sous quelque forme que ce soit ;
• La réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme ;
• La reproduction, l’extraction ou la réutilisation, par tout moyen, y compris les méthodes assimilables au
scraping des Contenus (photographies, description etc…) publiés par elle.
INAGUA accorde une licence personnelle, non-exclusive et non cessible aux Utilisateurs les autorisant à utiliser la Solution et les informations qu’elle contient, conformément aux présentes CGU.
Toute autre exploitation de la Solution et de ses Contenus est exclue du domaine de la présente licence et ne pourra être effectuée sans l’autorisation préalable expresse d’INAGUA.
Article 11. Données personnelles
La politique liée aux traitements de données personnelles mis en œuvre par INAGUA est détaillée dans la Politique de Confidentialité du Site, disponible ici : xxxxx://xxxxxxx.xxx/xxx/xxxxxxxxxxxxxxxxxxxxxxxx Concernant les cookies utilisés sur le Site, l’Utilisateur est invité à consulter la Charte Cookies d’INAGUA accessible à l’adresse xxxxx://xxxxxxx.xxx/xxx/xxxxxxx.
Article 12. Service Utilisateur
Toute question ou réclamation concernant l’utilisation ou le fonctionnement de la Solution peut être formulée selon les modalités suivantes :
• Par courrier électronique à l’adresse suivante : xxxxxxxx@xxxxxxx.xxx ;
• Par téléphone au : 00 00 00 00 00
Article 13. Validité des CGU
Si l’une quelconque des stipulations des CGU venait à être déclarée nulle au regard d’une disposition législative ou réglementaire en vigueur et/ou d’une décision de justice ayant autorité de la chose jugée, elle sera réputée non écrite mais n’affectera en rien la validité des autres clauses qui demeureront pleinement applicables.
Une telle modification ou décision n’autorise en aucun cas les Utilisateurs à méconnaitre les présentes CGU.
Article 14. Modification des CGU
Les présentes CGU s’appliquent à tout Utilisateur navigant sur le Site. Les CGU pourront être modifiées et mises à jour par INAGUA à tout moment, notamment pour s’adapter aux évolutions législatives ou réglementaires. Les CGU applicables sont celles en vigueur au moment de la navigation sur le Site.
Article 15. Dispositions Générales
Le fait que l'une des Parties n'ait pas exigé l'application d'une clause quelconque des présentes CGU, que ce soit de façon permanente ou temporaire, ne pourra en aucun cas être considéré comme une renonciation à ladite clause.
Article 16 Compétence et droit applicable
En cas de difficulté d’interprétation entre l’un quelconque des titres figurant en tête des clauses, et l’une quelconque de celles-ci, les titres seront déclarés inexistants
LES PRESENTES CGU AINSI QUE LES RELATIONS ENTRE L’UTILISATEUR ET INAGUA SONT REGIES PAR LE DROIT FRANÇAIS.
En cas de différend survenant entre INAGUA et un Utilisateur au sujet de l’interprétation, de l’exécution ou de la résiliation des présentes, les Parties s’efforceront de le régler à l’amiable.
Dans un tel cas de figure, l’Utilisateur est tout d’abord invité à contacter le Service Utilisateur à l’adresse suivante :
• Par courrier électronique à l’adresse suivante : xxxxxxxx@xxxxxxx.xxx ;
• Par téléphone au : 00 00 00 00 00.
16.1. A l’égard des Utilisateurs consommateurs
Si aucun accord n’est trouvé, il sera alors proposé une procédure de médiation facultative, menée dans un esprit de loyauté et de bonne foi en vue de parvenir à un accord amiable lors de la survenance de tout conflit relatif au présent contrat, y compris portant sur sa validité.
En application de l'article L. 616-1 du Code de la consommation, INAGUA communique au consommateur les coordonnées du médiateur de la consommation dont il relève. L’Utilisateur consommateur peut ainsi contacter :
Le Centre de médiation de la consommation des conciliateurs de justice, situé 00 Xxx xx Xxxxxxxx, 00000 Xxxxx qui peut être saisi gratuitement par l’Utilisateur consommateur :
• En utilisant le service en ligne sur le site : xxxxx://xxx.xx0x.xxx/xxxxxxxx-xx-xxxxxx.xxx ;
• Par mail, à : xx0x@xx0x.xxx ;
• Par courrier, à l’adresse suivante : 00 Xxx xx Xxxxxxxx, 00000 Xxxxx.
Tout consommateur a également la possibilité de recourir à la plateforme européenne de règlement en ligne des litiges accessible à l’adresse suivante :
xxxxx://xx.xxxxxx.xx/xxxxxxxxx/xxx/xxxx/xxxxx.xxx?xxxxxxxxxx.xxxx0.xxxx&xxxxXX
La Partie souhaitant mettre en œuvre le processus de médiation devra préalablement en informer l’autre partie par lettre recommandée avec accusé de réception en indiquant les éléments du conflit.
La médiation ne présentant pas un caractère obligatoire, l’Utilisateur consommateur ou INAGUA peut à tout moment se retirer du processus.
Dans l’hypothese ou la mediation echouerait ou ne serait pas envisagee, le litige ayant pu donner lieu a une mediation sera confie au tribunal competent.
16.2. A l’égard des Utilisateurs professionnels
Les Parties s’efforceront de régler à l’amiable tout différent pouvant survenir entre elles au sujet de l’interprétation, de l’exécution ou de la résiliation des présentes CGU. A défaut d’Accord amiable dans une délai d’un (1) mois à compter de la saisine de l’une des parties, le litige pourra être soumis aux tribunaux compétents du ressort de la Cour d’Appel de Paris auxquels il est expressément fait attribution de la compétence de trancher le litige.
ACCORD CADRE DES SOLUTIONS
Article 1. Objet
Le présent accord-cadre (ci-après l’ « Accord-cadre ») est conclu entre d’une part la société INAGUA, Société par Actions Simplifiée (SAS), au capital social de 49.228€, immatriculée au RCS d’EVRY sous le numéro 752 181 727, et dont le siège social est situé 0 xxx xx Xxxxxxx Xxxxx, 00000 Xxxxxx-xxx-Xxxx (ci-après « INAGUA ») et le Client Professionnel ayant souscrit à une Offre payante d’autre part (ci-après désignées collectivement « les Parties
»).
Le présent Accord-cadre a pour objet de définir les droits et les obligations des Parties dans le cadre de l’utilisation de la Solution par le Client et de la fourniture des Services Applicatifs par INAGUA.
Article 2. Définitions
Les définitions utilisées dans le présent Accord-Cadre sont similaires à celles visées aux Conditions Générales d’Utilisation du Site et de la Solution.
Article 3. Droits d’utilisation de la Solution
INAGUA concède au Client une licence d’utilisation mondiale non exclusive et non cessible associée à la Solution, dans sa version existante au jour de l’acceptation de l’Accord Cadre, ainsi que dans toutes les versions à venir mises à disposition par INAGUA et sur leur éventuelle documentation technique pour la durée des CGU.
Le Client se porte fort du respect du présent Accord Cadre par les Utilisateurs autorisés à qui il sous licencie la Solution.
Sauf dans le cadre autorisé par la loi, il est interdit au Client de :
• Tenter de copier, modifier, reproduire, créer toute œuvre dérivée, altérer, créer un miroir, republier, télécharger, afficher, transmettre ou distribuer l’ensemble ou toute partie des composantes de la Solution sous toute forme, sur tout support ou par le biais de tout moyen que ce soit ;
• Tenter de décompiler, désassembler, effectuer toute rétro-ingénierie ou rendre compréhensible de toute autre manière l’ensemble ou une partie de la Solution ;
• Accéder à l’ensemble ou une partie des codes sources de la Solution aux fins de les reproduire et/ou de les arranger dans le but de concevoir une application ou un service concurrent ;
• Tenter de toute manière que ce soit de supprimer, contourner toute Mesure de Protection Technique (MPT), ni utiliser ou fabriquer dans une optique de vente ou de location, importer, distribuer, vendre ou louer, proposer à la vente ou à la location, promouvoir la vente ou la location ou détenir à des fins d’utilisation privée ou commerciale tout moyen servant à faciliter la suppression ou le contournement non-autorisé des MPT ;
• Octroyer une sous-licence, vendre, louer, céder, la Solution ainsi que les Services associés de toute autre manière à toute tierce partie sans l’accord d’INAGUA.
Le Client s’engage à mettre tout en œuvre pour empêcher tout accès, ou utilisation non autorisée à la Solution et, dans le cas d’un tel accès ou utilisation non autorisée dont il aurait connaissance, d’en aviser INAGUA sans délai.
Article 4. Modalités d’utilisation de la Solution
Conformément à la mise à disposition en mode « Saas » des Solutions, INAGUA pourra librement modifier la Solution (architecture, interfaces et fonctionnalités) à tout moment sans que le Client ne puisse s’y opposer. INAGUA s’efforcera de notifier le Client des évolutions majeures de la Solution, sans que cela ne puisse constituer une obligation. A ce titre INAGUA ne saurait être tenue responsable d’aucune conséquence de ces modifications de la Solution sur les documentations, supports de formations ou autres contenus réalisés par le Client dans le cadre de ses utilisations de la Solution.
L'évolution majeure de la Solution est entendue comme introduisant une actualisation substantielle de ses fonctionnalités ou interfaces.
4.1. Obligations du Client
Dans le cadre de l'utilisation de la Solution, le Client s'engage à ne pas porter atteinte à l’ordre public et à se conformer aux lois et règlements en vigueur, à respecter les droits des tiers et les dispositions des Conditions Générales de Service.
Plus particulièrement, le Client s’engage à :
• Respecter les présentes Conditions Générales de Service ;
• Respecter la Réglementation sur les données personnelles ;
• Respecter les droits de propriété intellectuelle détenus par des tiers, et ne pas commettre ou omettre d’action(s) susceptible(s) de porter atteinte à ses droits ;
• Respecter la finalité de la Solution et ne pas chercher à en détourner l’usage et/ou faire réaliser des actions et/ou produire des résultats contraires à la destination originale de la Solution ;
• Ne pas chercher à extraire, reproduire, analyser, décompiler tout ou partie de la Solution et ses composantes, ni injecter des données ou délivrer des instructions qui seraient contraire à la destination de la Solution ;
• Respecter l’ensemble des limites d’utilisation associées à la Solution, ce compris les limites liées aux à son Offre ; et
• Faire respecter par les Acteurs, les Conditions Générales de Services. Le Client se porte fort, pour l’ensemble des Acteurs auxquels il fournit un accès à son Environnement de Travail, de leur respect de l’ensemble des documents composant les CGS (CGU, Accord-Cadre…).
En tout état de cause, il est rappelé que le Client utilise la Solution sous sa responsabilité entière et exclusive. INAGUA a dans ce cadre, le rôle de simple fournisseur d’une solution logicielle.
A ce titre, le Client est seul responsable du paramétrage réalisé au travers des options proposées par la Solution y compris lorsque le Client se fait accompagner par un prestataire extérieur, un partenaire ou une agence digitale. Le Client est réputé réaliser seul ce paramétrage, et dégage INAGUA de toute responsabilité ayant pour origine un mauvais paramétrage de la Solution et des applications qu’il utilise. Par ailleurs, si l'Utilisateur se fait accompagner par INAGUA ou un prestataire extérieur pour paramétrer ses Applications dans la Solution, il reconnait avoir testé et validé les paramétrages à leur issue et dégage à ce titre INAGUA de toute responsabilité liée à un dysfonctionnement causé par lesdits paramétrages.
En cas de fin de Contrat, les modalités de suppression des données sont détaillées à l’article « Conséquences de la résiliation ».
Le Client s’engage à faire preuve de coopération et de loyauté dans le cadre de ses relations avec INAGUA, et désigne en conséquence des interlocuteurs compétents auprès d’INAGUA.
4.2. Non-respect des modalités d’utilisation
Tout manquement du Client au présent article pourra entraîner la suspension temporaire voir la résiliation de plein droit des Conditions Générales de Service dans les conditions prévues à l’article « Suspension – Résiliation ».
Le Client pourra également se voir contraint de publier ou faire publier, au choix d’INAGUA, une information mettant hors de cause INAGUA et sa Solution DAMAaaS et ce sans préjudice de tous dommages et intérêts qui pourront être sollicités par INAGUA du fait du manquement aux présentes et notamment de l’atteinte à son image et à sa réputation.
Article 5. Souscription aux Offres Free et Business et Corporate
5.1. Acceptation des Conditions Générales de Services
Le Client s’engage à lire attentivement les présentes Conditions Générales de Services et à les accepter avant toute souscription.
5.2. Modification des Conditions Générales de Services
INAGUA se réserve la possibilité de modifier à tout moment les présentes Conditions Générales de Services. Ces modifications seront portées à la connaissance du Client par courriel avant l’entrée en vigueur des changements.
En cas de modifications substantielles des présentes, il convient de distinguer les hypothèses suivantes :
• Soit le Client consent auxdites modifications substantielles auquel cas celles-ci entreront automatiquement en vigueur trente (30) jours à compter de la notification sans autre formalité ;
• Soit le Client refuse les modifications substantielles, auquel cas le Client dispose de la faculté de résiliation anticipée de tout ou partie du Contrat, conformément aux dispositions de l’article 12 dans le délai de trente
(30) jours à compter de la notification.
Dans cette hypothèse, le Client s’engage à supprimer toutes ses données de la Solution et à verser à INAGUA l’intégralité des sommes correspondant aux Services Applicatifs fournis jusqu’au jour de la prise d’effet de la résiliation, le cas échéant calculées au prorata de l’engagement initial et de la période écoulée. Il est précisé que, dans cette hypothèse, la résiliation prendra effet au jour de l’entrée en vigueur des Conditions Générales de Services amendées.
5.3. Conditions de mises en œuvre des Services Applicatifs
Sous réserve d’avoir souscrit à la Solution et selon l’Offre souscrite, le Client pourra bénéficier des Services Applicatifs détaillés dans les Conditions Particulières.
La Solution exploitée par INAGUA propose à tout Utilisateur la souscription à des Services Applicatifs complémentaires par l’intermédiaire des Offres suivantes :
• Une Offre Free ;
• Une Offre Business ; et
• Une Offre Coporate.
5.4. Garanties de Services
(i) Disponibilité
INAGUA s’engage auprès du Client à mettre en œuvre ses meilleurs efforts pour assurer la disponibilité de la Solution.
Le Client reconnaît être averti des aléas techniques inhérents à Internet, et des interruptions d’accès qui peuvent en résulter. En conséquence, INAGUA ne pourra être tenue responsable des éventuelles indisponibilités ou ralentissements des Services Applicatifs résultant d'un problème de circulation des informations via Internet. INAGUA n’est donc pas soumis à une obligation de résultat quant à la garantie de la continuité d'accès aux Services Applicatifs, exécutés à distance via Internet, ce que le Client reconnaît. INAGUA fera ses meilleurs efforts pour assurer la disponibilité des Services Applicatifs.
La Solution ainsi que les Données sont hébergées en France chez un fournisseur d’INAGUA dans un DataCenter tiers 4 (le plus haut niveau de sécurité disponible sur du matériel à tolérance de panne).
L’infrastructure est totalement dupliquée sur un second DataCenter tiers 4 distant du premier DataCenter. Les données du premier DataCenter sont synchronisées toutes les heures sur le second DataCenter. En cas de sinistre majeur sur le premier DataCenter, la reprise d’activité s’effectue sur le second DataCenter quelques minutes après la prise de décision de basculer sur l’infrastructure de secours. La décision de reprise sur site de secours n’est volontairement pas automatisée. Elle aura lieu au plus tard dans les 4 heures qui suivent l’occurrence du sinistre majeur sur le site principal (DMIA). En cas de reprise sur site de secours, la perte maximale de données sera d’une heure à compter de la dernière synchronisation (PDMA).
Les Pièces Jointes sont stockées dans deux (2) DataCenters situés en France et en Europe (UEE). INAGUA ne saurait être tenue responsable de l’indisponibilité des Services Applicatifs en cas de :
• Force majeure, telle que définie ci-après ;
• D’évènement hors du contrôle d’INAGUA et sous réserve des éventuelles pannes et interventions nécessaires au bon fonctionnement de la Solution ;
• Perturbations, coupures et/anomalies qui ne sont pas de son fait et qui affecteraient les transmissions par le réseau internet et plus généralement par le réseau de communication, quelles qu’en soient l’importance et la durée ; ou
• D’opérations de maintenance réalisées par INAGUA.
Dans ces hypothèses, INAGUA ne pourra être redevable d’aucune indemnité ou de dommages et intérêts à l’égard du Client, à quelque titre que ce soit.
(i) Maintenance
INAGUA procédera à la correction des Anomalies reportées par le Client dans les meilleurs délais, en tenant compte du niveau de blocage généré par ces Anomalies (bloquante, majeure, mineure). INAGUA fera dès lors ses meilleurs efforts pour tenir le Client informé du traitement de l’Anomalie signalée.
Le Client est informé du fait qu’INAGUA peut être amenée à réaliser des opérations de maintenance évolutive sur la Solution, pouvant rendre temporairement indisponibles les Services Applicatifs.
A ce titre, INAGUA s’engage, fera ses meilleurs efforts pour réaliser ces opérations de maintenance en dehors des heures de bureau.
Article 6. Obligations d’INAGUA
6.1. Fourniture des Services Applicatifs
INAGUA s’engage à :
• Fournir au Client les Services Applicatifs proposés au Client conformément aux dispositions des présentes CGS, et
• Faire preuve de coopération et de loyauté dans le cadre de ses relations avec le Client, et désigne en conséquence des interlocuteurs compétents auprès du Client.
INAGUA met à disposition du Client la Solution par le biais du réseau Internet.
Cette Solution fait partie d’un Service Applicatif incluant l’hébergement sécurisé des Données, la maintenance de la Solution, l’évolution de la Solution, le stockage de Pièces Jointes, le service de signature électronique et tous autres services qui viendront compléter l’Offre durant la validité du Contrat.
INAGUA choisit librement son (ses) hébergeur(s) et partenaires fournisseurs de services et reste libre d’en changer sans modification contractuelle dans le respect des conditions prévues par le présent Contrat
Article 7. Assistance - Maintenance
7.1. Support
Tout Client administrateur peut accéder à l’outil de ticketing dans les conditions prévues à l’article « maintenance corrective » pour les déclarations d’incidents et de dysfonctionnements de ses Applications dans le cadre de l’utilisation de la Solution.
En cas de demande urgente ou non prise en charge dans un délai d’un mois, INAGUA met à disposition du Client le numéro de téléphone suivant : 00 00 00 00 00 (appel non surtaxé) ainsi que l’adresse email xxxxxxxx@xxxxxxx.xxx. Le Client pourra poser toute question concernant le fonctionnement de la Solution. INAGUA fera ses meilleurs efforts pour répondre à toute question posée par le Client dans les meilleurs délais.
Le Client pourra également souscrire à des prestations de formation ou d’accompagnement personnalisées qui feront l’objet d’une facturation distincte.
7.2. Maintenance corrective
Le fournisseur d’INAGUA en charge de l'hébergement de la Solution dispose d'une supervision spécifique à chaque composant. Un hyperviseur permet la centralisation de toutes les alertes et l’information en temps réel des équipes d’infrastructure disponibles 24h/24h et 7j/7j. Une procédure d’escalade est mise en œuvre vers les niveaux 2 et 3 (sous astreinte) en cas d’incident majeur.
Le fournisseur d’INAGUA en charge de l'hébergement de la Solution effectue également une veille active des nouvelles failles de sécurité et applique les correctifs dès qu'ils sont disponibles selon une procédure réactive et sécurisée. Le Client pourra interroger INAGUA à tout moment sur l'application ou non d'un correctif donné.
A réception, INAGUA procède au diagnostic dans les meilleurs délais et informe le Client des actions engagées pour résoudre le dysfonctionnement dès lors qu’il ne résulte pas d’une utilisation non conforme à la logique définie et mise en œuvre par INAGUA. Pour caractériser le dysfonctionnement, INAGUA pourra demander des précisions au Client qui s’obligera à collaborer à cette caractérisation.
7.3. Maintenance évolutive
Le Client bénéficiera automatiquement de l’ensemble des évolutions fonctionnelles de la Solution.
Les évolutions majeures de la Solution pourront le cas échéant être notifiées au Client, bien que cela ne puisse constituer une obligation à la charge d’IINAGUA. A ce titre, INAGUA ne saurait être tenue responsable d’aucune
conséquence de ces modifications de la Solution sur les documentations, supports de formations ou autres contenus réalisés par le Client dans le cadre de ses utilisations de la Solution.
INAGUA fera ses meilleurs efforts pour mettre en place des contrôles efficaces de nature à procurer une assurance raisonnable que les mises à niveau et nouvelles versions de la Solution n’entraîneront aucune régression du Service Applicatif en termes de fonctionnalités, notamment dans le traitement des Données.
Le Client pourra demander à INAGUA une évolution fonctionnelle de la Solution via l’outil de ticketing ”Support” accessible aux Administrateurs habilités. En fonction de la demande, INAGUA sera libre de mettre en œuvre ou décliner cette demande d’évolution mais pourra également proposer la prise en charge financière partielle ou totale du développement de cette évolution au Client.
Quel que soit le mode de financement, ces évolutions resteront la propriété exclusive d’INAGUA qui en fera bénéficier ses autres clients.
Article 8. Sécurité
INAGUA fera ses meilleurs efforts pour :
• Assurer une sécurité logique et physique de ses systèmes d’information ;
• Préserver l’intégrité, la confidentialité et la sécurité des Données, conformément aux usages en la matière, notamment d'empêcher que les informations collectées ne soient déformées, endommagées ou communiquées à des personnes non autorisées ; et
• Réduire le risque d'une infraction de sécurité.
Les mesures de sécurité des Données sont détaillées à l'Annexe 2 des CGS. Le Client s’engage à :
• Correctement configurer ses systèmes informatiques et l’ensemble de leurs composantes afin de faire fonctionner la Solution en toute sécurité au sein de son environnement informatique ;
• Signaler à INAGUA dans les meilleurs délais toute faille de sécurité ou intrusion dans les systèmes d’INAGUA dont il aurait connaissance ;
• Sécuriser et préserver la confidentialité de ses Identifiants. Plus précisément, le Client s’engage à renouveler régulièrement son mot de passe, dont le niveau de robustesse doit être conforme à l’état de l’art.
Le Client garantit par ailleurs que les éventuels fichiers importés dans une Solution ne contiennent pas de logiciels malveillants.
Article 9. Responsabilité
9.1. Principes généraux
INAGUA est tenue, dans le cadre de la réalisation des Services Applicatifs, à une obligation générale de moyens.
Les Parties pourront engager la responsabilité de l’autre Partie dès lors qu’elle aura préalablement notifié par lettre recommandée avec accusé de réception le manquement allégué et que l’autre Partie n’aura pas répondu dans un délai de trente (30) jours à compter de la réception de cette notification devant prendre la forme d’une mise en demeure.
En tout état de cause, il est rappelé que la responsabilité d’INAGUA ne pourra être recherchée qu’en cas de faute prouvée.
Par ailleurs, il est rappelé qu’INAGUA décline toute forme de responsabilité en cas de :
• Utilisation anormale ou d’une exploitation illicite de tout ou partie de la Solution par le Client ;
• Usage de tout ou partie de la Solution non conforme à la réglementation, non prévu au présent Contrat et/ou contraire à la finalité de la Solution ;
• Impossibilité d'accéder temporairement à la Solution liée à des opérations de maintenance technique ou d’interruptions liées à la nature du réseau Internet indépendantes d’INAGUA ;
• Défaillance du Client dans l’exécution du Contrat ; et
• Inadéquation de la Solution avec le matériel informatique et les logiciels utilisés par le Client dont seul le Client a la charge d’apprécier la compatibilité.
En tout état de cause, il est expressément convenu entre les Parties que si la responsabilité d’INAGUA était retenue dans le cadre de l’exécution du présent Contrat, celle-ci serait limitée à tous préjudices et toutes demandes confondues, à la totalité des sommes versées par le Client au titre des présentes sur les douze (12) mois précédant le dommage concerné.
Les présentes dispositions établissent une répartition des risques entre INAGUA et le Client. Le prix pour bénéficier des Services Applicatifs reflète cette répartition ainsi que la limitation de responsabilité décrite ci-avant.
Il est expressément convenu entre les Parties que les stipulations de la présente clause continueront à s’appliquer même en cas de résolution des présentes constatées par une décision de justice devenue définitive.
9.2. Statut d’hébergeur
Il est rappelé qu’INAGUA aura la qualité d’hébergeur au sens de l’article 6 I 2) de la loi du 21 juin 2004 pour la confiance en l’économie numérique. En cette qualité, INAGUA s’engage à retirer promptement tout contenu manifestement illicite dès qu’il en aura connaissance.
Article 10. Propriété intellectuelle
Chacune des Parties conservera la propriété des connaissances, savoir-faire, procédés, informations, données techniques, industrielles ou commerciales, fournitures, logiciels et autres créations qu’elle possédait avant la validation des présentes CGS.
10.1. Propriété du Client
Les Données Clients publiées sur la Solution par le Client à partir de son Environnement de Travail demeurent la propriété du Client, qui en assure le contrôle de la diffusion et de l’accès via son Environnement de Travail.
10.2. Propriété d’INAGUA
Le Client reconnaît que la Solution, toutes ses composantes et Contenus sont la propriété exclusive d’INAGUA.
Toute création incluant notamment les marques, logos, slogans, graphismes, photographies, animations, vidéos, logiciels, bases de données et textes créés, publiés ou enregistrés par INAGUA sur la Solution sont la propriété exclusive d’INAGUA et ne peuvent donc être reproduits, utilisés ou représentés sans autorisation expresse préalable, sous peine de poursuites judiciaires.
A ce titre, le Client s’interdit :
• D’utiliser les dénominations d’INAGUA dans ses campagnes sans l’accord préalable et écrit d’INAGUA ;
• D’entretenir une quelconque confusion avec INAGUA dans le cadre de ses campagnes publicitaires et/ou annonces promotionnelles ; et
• D’adapter, de corriger, de modifier ou de reproduire en tout ou partie de la Solution.
Toute représentation totale ou partielle de la Solution ou de leurs composantes ou Contenus, par quels que procédés que ce soit, sans l’autorisation préalable expresse d’INAGUA est interdite et constituera une contrefaçon sanctionnée par les articles L.335-2 et suivants et les articles L.713-1 et suivants du Code de la propriété intellectuelle.
En outre, INAGUA interdit expressément :
• L'extraction, par transfert permanent ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la Solution, par tout moyen et sous toute forme que ce soit ; dès lors que l’auteur de cette extraction intervient en dehors d’une licence consentie par INAGUA ;
• La réutilisation, par la mise à la disposition du public de la totalité ou d'une partie qualitativement ou quantitativement substantielle de la Solution, quelle qu'en soit la forme dès lors que l’auteur de cette réutilisation intervient en dehors d’une licence consentie par INAGUA.
Enfin, le Client reconnaît que constitue notamment le « savoir-faire » d’INAGUA l’ensemble de la documentation fournie, les algorithmes de fonctionnement de la Solution, ainsi que l’ensemble des paramétrages et des données d'entraînement ayant permis/permettant à INAGUA de proposer les Services Applicatifs.
10.3. Licence sur la Solution
Aux termes des présentes, INAGUA concède au Client une licence mondiale non exclusive et non cessible d’utilisation de la Solution, et ce pour toute la durée d’utilisation des Services Applicatifs.
Cette licence autorise le Client, ainsi que les éventuels Acteurs, à utiliser la Solution, conformément à sa destination ainsi qu’aux conditions contractuelles applicables en vertu des présentes CGS.
Le droit susmentionné est incessible et octroyé pendant toute la durée d’utilisation pour le monde entier.
Tout autre droit de propriété intellectuelle attaché à la Solution est exclu de la présente licence et demeure la propriété exclusive d’INAGUA. INAGUA dispose de la faculté de réaliser ou de faire réaliser à ses frais des audits, aux fins de contrôler le bon respect des licences et des modalités d’utilisation de la Solution telles que décrites dans les présentes CGS. En cas de manquement constaté, les frais d’audit seront supportés par le Client, qui pourra en complément se voir appliquer des pénalités. La présente clause d’audit survit pendant une durée de cinq
(5) ans après la résiliation des CGS et ses composantes.
Article 11. Durée
Sauf disposition contraire, le point de départ de la durée d’engagement correspond à la date de première utilisation de la Solution par le Client et/ou les Acteurs.
La durée du Contrat est valable jusqu’au mois suivant à compter de cette date et renouvelable par tacite reconduction pour des périodes d’un mois et dans des conditions identiques.
INAGUA se réserve le droit de proposer une évolution contractuelle ou de dénoncer ce Contrat quel qu’en soit le motif sur notification écrite, un (1) mois au moins avant son échéance.
A ce titre, INAGUA se réserve le droit de supprimer un Environnement de Travail en cas d’inactivité du Client sur son Environnement de Travail pendant une période d’un (1) an et que celui-ci n’a plus de Données hébergées sur son Compte.
En cas de dénonciation du Contrat, les unités prépayées non consommées à l'échéance seront remboursées au Client.
A l'issue de la période initiale, le Client pourra dénoncer le Contrat à tout moment, sans motif ni indemnités, par lettre recommandée avec accusé de réception moyennant un préavis de trois (3) mois à compter de la première présentation de ladite lettre.
A l'échéance du Contrat, dans un délai d’un (1) mois le Client devra avoir supprimé toutes les Applications qui dépendent du Contrat. Les sommes payées par le Client dans le cadre d’achat d'unités prépayées restent acquises par INAGUA, sauf si la fin du Contrat est motivée par une faute prouvée d’INAGUA : les unités prépayées non consommées seront alors remboursées au Client. Par ailleurs, conformément à l’article 12.2 du présent Accord Cadre, le Client dispose d’un délai d’un mois à compter de l’expiration du Contrat pour récupérer ses Données.
Article 12. Suspension – Résiliation
12.1. Hypothèses de suspension et de résiliation
12.1.1 Suspension
INAGUA peut suspendre de plein droit le Contrat et les accès au Service, et ce sans indemnité au profit du Client, et sans mise en demeure préalable, dans les cas suivants :
• En cas d’absence de coopération et/ou de déloyauté constatée par INAGUA, et s’il y a urgence à faire cesser les agissements concernés, notamment en cas de :
- Non-respect par le Client du périmètre de la licence octroyée sur la Solution, de la propriété intellectuelle d’INAGUA et de son savoir-faire ;
- Agissements concurrentiels tels que le développement d’une solution similaire à celles développées par INAGUA.
• Lorsque les agissements du Client mettent en danger, de quelle que manière que ce soit, le fonctionnement de la Solution, notamment en cas de :
- Mise à disposition de la Solution à des tiers non-autorisés ; et/ou
- D’activité illicite réalisée par le Client par l’intermédiaire de la Solution.
- En cas de violation des engagements souscrits au titre des présentes CGS.
Cette décision est portée à la connaissance du Client par courriel ou le cas échéant par lettre recommandée avec accusé de réception.
En cas souscription d’une offre à durée déterminée (abonnement), le Client reste tenu aux versements des échéances dues malgré la suspension des Services Applicatifs.
La suspension pourra, le cas échéant, être levée par INAGUA à compter de la réception par celle-ci d’un courriel ou par courrier recommandé avec accusé de réception justifiant que la cause de la suspension notifiée au Client a été supprimée.
A défaut de main levée sur cette suspension, le Contrat sera automatiquement résilié sept (7) jours après la notification du Client par tous moyens par INAGUA notifiant la non-résolution du cas ayant entraîné la suspension. Les Données du Client seront ensuite supprimées dans un délai d’un (1) mois à compter de la date de résiliation du Contrat.
12.1.2 Résiliation pour manquement
En cas de manquement grave, par une Partie, d’au moins une de ses obligations au titre des présentes, les présentes CGS pourront être résiliées par l’autre Partie.
Il est expressément convenu que cette résiliation aura lieu de plein droit, sept (7) jours après l’envoi d’une notification par courriel ou le cas échéant d’un courrier de mise en demeure de s’exécuter, restée sans effet. La mise en demeure, qui devra impérativement indiquer les griefs reprochés et les obligations dont le non-respect est allégué, sera notifiée par lettre recommandée avec accusé de réception.
12.2. Conséquences de la résiliation
La résiliation effective du Contrat (après expiration du délai de préavis) emporte sans délai :
• La cessation des droits d’utilisation de la Solution accordés au Client au titre des présentes ; et
• La résiliation de plein droit des présentes CGS.
La résiliation du Contrat donnera lieu à la restitution par chaque Partie de l’ensemble des documents transmis à l’autre Partie dans le cadre de la fourniture des Services Applicatifs.
Les articles « Propriété intellectuelle », « Confidentialité », « Responsabilité », et « Protection données personnelles » resteront en vigueur en cas de résiliation des présentes et ce pour la durée dans les clauses respectives et, à défaut, pendant cinq (5) ans sauf stipulation expresse ou disposition législative, réglementaire contraire.
En cas de manquement imputable au Client, il est précisé que :
• Le Client demeurera tenu de payer l’intégralité des sommes fixées au sein des Conditions Particulières, en cas de souscription d’une offre à durée déterminée (abonnement) ; et
• Le Client ne pourra obtenir le remboursement des unités non-consommées.
INAGUA reste néanmoins disposée à trouver un arrangement amiable de sortie des présentes CGS avec le Client, mais n’est tenue d’aucune obligation en ce sens.
À l'expiration du Contrat ou en cas de résiliation, des opérations de réversibilité pourront être réalisées dans les conditions des présentes, sous réserve de la demande expresse du Client dans un délai d’un (1) mois à compter de la notification de la date d’expiration ou de résiliation du Contrat. En l’absence de sollicitation du Client dans ce délai, INAGUA procédera à la suppression intégrale des Données du Client hébergés dans le cadre des Services Applicatifs.
Article 13. Garanties
Chaque Partie s’engage envers et garantit l’autre Partie que :
Elle a le pouvoir et l’autorité de conclure le présent Contrat, et qu’elle assurera et
• Maintiendra, au cours de la relation, l’ensemble des autorisations éventuelles nécessaires à l’exécution de ses obligations ;
• Elle détient, ou s’est vue octroyer les droits lui permettant d’utiliser aux fins du présent Contrat, l’ensemble des droits de propriété intellectuelle nécessaires au respect de ses obligations ;
• Elle exécutera ses obligations en vertu du présent Contrat conformément à l’ensemble des lois en vigueur et en démontrant une diligence et des compétences raisonnables ;
• Elle ne fera ni n’omettra de faire quoi que ce soit pouvant entraîner pour l’autre Partie une violation de toute loi ou règlement en vigueur ; et
• Elle ne dénigrera pas l’autre Partie.
Le Client accepte le fait que la Solution n’ait pas été développée dans l’optique de satisfaire ses impératifs individuels. A ce titre, le Client est tenu de s’assurer que la Solution est conforme à ses besoins, impératifs et contraintes.
INAGUA ne saurait garantir au Client le succès commercial des résultats générés grâce à la Solution, ni le fait que les Services Applicatifs seront de nature à générer une quelconque augmentation du chiffre d’affaires du Client.
INAGUA garantit au Client une jouissance paisible de la Solution, cette garantie n’étant opposable que pour les droits d’utilisation conférés en application des présentes.
Par ailleurs, en cas de réclamation ou d’action en justice d’un tiers alléguant que l’utilisation d’une Solution constituerait une violation de ses droits de propriété intellectuelle, INAGUA s’engage à intervenir volontairement, si nécessaire, à toutes les instances engagées contre le Client.
La garantie figurant à l’alinéa précédent s’entend sous réserve que :
• La réclamation ou action ne soit pas la conséquence d’une violation par le Client de ses engagements contractuels ;
• Le Client envoie à INAGUA dans les meilleurs délais, un avis écrit concernant la réclamation ou l’action, détaillant sa nature ;
• Le Client n’endosse aucune responsabilité, ne conclut aucun accord ou compromis concernant la réclamation ou l’action sans obtenir préalablement l’accord écrit d’INAGUA ;
• Le Client prenne toute mesure raisonnable sollicitée par INAGUA dans le but d’éviter, de contester, de compromettre ou de défendre la réclamation ou l’action.
Article 14. Confidentialité
Les Parties s’engagent pendant toute la durée du Contrat, et pendant cinq (5) ans après son expiration ou l’arrêt d'utilisation des Services Applicatifs; pour quelque cause que ce soit, à conserver la confidentialité de toutes informations ou documents quels qu’en soient la nature, la forme ou le support, peu importe que la mention « confidentiel » apparaisse ou non le cas échéant sur ledit support, auxquels l’autre Partie aura accès pour l’exécution du Contrat et notamment sans que cette liste soit exhaustive, tous moyens mis à la disposition de l’autre Partie, toute donnée économique, sociale, organisationnelle, technique, industrielle, financière et commerciale, toute information relative aux activités des Parties, leur stratégie, leurs travaux de recherche et développement, leurs infrastructures ainsi que le contenu du présent Contrat (ci-après les « Informations Confidentielles »).
Dès lors, la Partie à qui une Information Confidentielle est communiquée s'engage à :
• Protéger cette Information Confidentielle, notamment par des mesures techniques et d’organisation appropriées, avec au minimum le même degré de soin que celui porté à la protection de ses propres Informations Confidentielles, mais en aucun cas à un degré inférieur que celui dicté par la prudence.
• Reproduire ou utiliser directement ou indirectement cette information, dans le cadre exclusif de l’exécution du présent Contrat. Toute autre utilisation sera soumise à l’autorisation écrite de l’autre Partie.
• N’accomplir aucun acte tendant à falsifier et/ou altérer cette information.
• Ne pas divulguer cette information à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales, ou préposés dont la qualité ne le justifierait pas.
• Se porter fort, au sens de l’article 1204 du Code civil, du respect par ses préposés, mandataires ou sous- traitants dûment autorisés, de l'engagement de confidentialité.
• Retourner ou détruire au choix et selon ses modalités de l’autre Partie, l’Information Confidentielle ainsi que tout document contenant cette information, à l’expiration du Contrat ou à tout moment sur demande de l’autre Partie. La destruction sera confirmée par écrit.
• Notifier toute violation d'une disposition du présent article ou tout incident susceptible de nuire au caractère confidentiel de l’information et ce dès lors qu’elle en aura connaissance.
Cette obligation de confidentialité ne saurait concerner les informations :
• Tombées dans le domaine public ; ou
• Dont la divulgation a été rendue nécessaire en vertu d’une disposition légale et/ou réglementaire et/ou d’une injonction administrative et/ou judiciaire ; ou
• Divulguées avec l’accord préalable écrit de l’autre Partie.
Sous réserve des droits des tiers, toutes les informations confidentielles et leurs reproductions resteront la propriété exclusive de la Partie qui la communique.
La transmission des informations confidentielles ne pourra être considérée ou interprétée comme conférant un droit quelconque de propriété matérielle et/ou intellectuelle et/ou une licence d'utilisation sur les informations confidentielles.
Article 15 : Protection des données personnelles
15.1. Traitements de données réalisés par INAGUA en qualité de Responsable du Traitement
Une collecte des Données Personnelles concernant le Client et les Utilisateurs est opérée par INAGUA en sa qualité de responsable de traitement afin de :
• S’assurer du bon fonctionnement et de l’amélioration permanent de la Solution et des Services Applicatifs ;
• Effectuer des statistiques afin d’améliorer les Services Applicatifs ;
• Gérer la relation commerciale avec le Client ;
• Gérer la facturation des Services Applicatifs ;
• Gérer les demandes d’exercice de droits du Client et des Utilisateurs autorisés.
15.2. Traitements des Données Personnelles réalisés par INAGUA en qualité de Sous-Traitant
Le Client reconnaît expressément que, s’agissant des traitements de données réalisés dans le cadre de la mise en œuvre de la Solution ; de l’utilisation de la Solution pour la création de son Environnement de Travail et de ses applications :
• Le Client agit en qualité de Responsable du Traitement ;
• INAGUA agit en qualité de Sous-Traitant.
Les traitements de données réalisés par INAGUA en qualité de Sous-Traitant sont régis par l’Annexe 1 aux CGS.
Article 16. Force majeure et imprévision
16.1. Force Majeure
Les Parties ne seront pas réputées avoir manqué à leurs obligations si elles sont empêchées d'exécuter tout ou partie de celles-ci à la suite d'un cas de force majeure, sous réserve que la Partie défaillante en informe l’autre Partie, par lettre recommandée avec accusé de réception, dans les sept (7) jours calendaires de la survenance de l’événement et justifie du caractère de force majeure au sens de la jurisprudence française.
La Partie défaillante fera ses meilleurs efforts pour limiter les effets du cas de force majeure, et trouver toute solution adaptée afin de reprendre l’exécution de ses obligations dans les meilleurs délais.
Outre les cas de force majeur découlant de l’application de l’article 1218 du Code civil et de la jurisprudence l’interprétant, les Parties retiennent expressément que constituent des cas de force majeur : les grèves, les pannes du réseau électrique, les pannes de réseau Internet, les pannes de réseau téléphonique, les attaques informatiques et les épidémies ou crises sanitaires.
Si l'exécution d’une ou plusieurs des obligations de l’une ou l’autre Partie est différée du fait de la survenance d'un événement de force majeure, l’exécution du Contrat sera suspendue jusqu’à la disparition dudit événement. Toutefois, dans l’hypothèse où l’événement de force majeure se prolongerait au-delà d’un (1) mois, chacune des Parties aurait la faculté de résilier de plein droit le Contrat par l'envoi d'une lettre recommandée avec avis de réception produisant effet immédiat.
Article 17. Communication
Sous réserve d’obtenir l’accord préalable du Client, INAGUA pourra :
• Utiliser à des fins de communication ou de promotion commerciale, son nom, sa raison sociale, son logo et un exemple de message au titre de « Référence client » sans aucune rétribution de la part d’INAGUA ; et
• Faire état de témoignages dont le contenu et les modalités de présentation seront définis en concertation entre les Parties.
Article 18. Assurance
INAGUA bénéficie d’une assurance responsabilité civile auprès de HISCOX sous le numéro de police HA RCP 0297758 afin de couvrir les risques liés à l’exercice de son activité. Il s’engage à donner tout justificatif au Client, si celui-ci lui en fait la demande expresse par email à l’adresse xxxxxxxx@xxxxxxx.xxx.
INAGUA s'engage à bénéficier d'une telle assurance pendant la durée du Contrat et à en justifier à tout moment sur simple demande du Client.
Article 19. Divers
Les Parties sont indépendantes et contractent en leur nom propre et sous leur propre responsabilité. Par conséquent, aucune des Parties ne fera de déclaration au nom de l'autre Partie, pour laquelle elle ne se substituera en aucun cas, sauf dans la mesure strictement nécessaire à l'exécution du Contrat.
Le Client ne peut céder, apporter ou transférer de toute autre manière - que ce soit en totalité ou en partie, à titre gratuit ou onéreux - aucun de vos droits et obligations en vertu des CGS, sans consentement écrit préalable d’INAGUA.
La renonciation ou l'absence de réclamation par l'une des Parties d'une violation par l'autre Partie de l'une de ses obligations en vertu de l'accord ne doit pas être interprétée comme une renonciation à cette obligation pour l'avenir.
Si une clause de l'accord est jugée illégale, invalide ou inapplicable, en tout ou en partie, en raison d'une disposition légale ou réglementaire ou à la suite d'une décision d'une juridiction compétente devenue définitive, les autres clauses resteront pleinement en vigueur et effectives.
Toute communication entre les Parties pendant la durée de l'accord sera notifiée à l'autre Partie, conformément aux dispositions de l'accord. Les fichiers, données, messages, mises à jour sur notre site web et les enregistrements numérisés stockés dans nos systèmes informatiques, seront admis comme preuve des actes, faits et communications entre les Parties.
I. OBJET
DATA PROTECTION AGREEMENT
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le RGPD et les réglementations en matière de propriété industrielle et intellectuelle.
La présente Annexe a pour objet de définir les conditions dans lesquelles INAGUA s’engage, en sa qualité de Sous-traitant, à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après. Il est ainsi rappelé que le Client, en sa qualité de Responsable de Traitement, est seul responsable de l’accomplissement des formalités préalables à la mise en œuvre du traitement de données auprès de la CNIL.
II. DEFINITIONS
Pour les besoins de la présente Xxxxxx et nonobstant toutes autres définitions prévues contractuellement entre les Parties, les termes suivants auront le sens qui est donné ci-dessous :
« Application » : désigne une utilisation spécifique, un projet du Client, créé à l’aide de la Solution : sa structure, ses Données, ses processus et ses habilitations. Le Client pourra concevoir et utiliser une ou plusieurs Applications.
« Contrat » : désigne le contrat principal conclu INAGUA et le Client qui définit les obligations des parties dans le cadre de la fourniture des Services.
« Données » : désigne tous types d’informations et/ou données auxquelles le Client a accès dans le cadre des relations contractuelles, quel que soit le format ou le support, que ce soit des Données personnelles (définies ci-après) ou non (ex : données financières, opérateurs, clients, partenaires, stratégiques, techniques, professionnelles, administratives, commerciales, juridiques, comptables ...).
« Données personnelles » : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée comme telle, soit directement soit indirectement par regroupement d’informations, par référence à un numéro d’identification ou à des éléments qui lui sont propres : nom, adresse, numéro de téléphone, adresse IP, adresse email, numéro d’immatriculation d’un véhicule, matricule professionnel, identifiant/login, mot de passe, données de connexion, etc.
« Données sensibles » : désigne les catégories particulières de données dont le traitement est par principe interdit. Il s’agit des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
« Logiciel » : désigne l’ensemble des fonctions opérationnelles mises à la disposition du Client en mode SaaS par INAGUA et objet du Contrat.
« Personne concernée » : désigne l’ensemble des personnes dont les données à caractère personnel font l’objet d’un traitement de données.
« Services » : désigne l’ensemble des services, fonctionnalités et prestations mis à disposition du Client.
« Sous-traitant » ou « Prestataire » : désigne la personne traitant des données à caractère personnel pour le compte du responsable du traitement, il agit sous l’autorité du responsable du traitement et sur instruction de celui-ci. Il s’agit en l’espèce de INAGUA.
« Service Applicatif » : désigne à la fois le logiciel, les modalités d’accès et les modalités d’hébergement de l’Application et du Logiciel.
« Traitement » : désigne toutes opérations portant sur des informations, quel que soit le procédé utilisé (automatisé ou non automatisé). Sont donc visées toutes formes de traitement des Données, que ce soit sur support informatique ou autres (papier, enregistrement vidéo, audio, …). S’agissant en particulier de Données personnelles, il peut s’agir d’opérations de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation, de modification, d’extraction, de consultation/visualisation, de diffusion ou de mise à disposition.
« Responsable de traitement » ou « Client » : désigne la personne qui détermine les moyens et les finalités du traitement. Il s’agit en l’espèce du Client qui souscrit à l’offre de Services proposée par INAGUA en vue d’utiliser l’Application.
« Violation de données à caractère personnel » : désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès à ou la destruction, la perte, l’altération, la divulgation non autorisée d’Informations personnelles transmises, stockées ou traitées.
III. DUREE
La présente Annexe entre en vigueur à compter de la signature du Contrat et restera en vigueur durant toute la durée de la relation contractuelle unissant le Sous-traitant et le Responsable de traitement.
IV. DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUSTRAITANCE
INAGUA est autorisée à traiter, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires pour fournir les Services Applicatifs suivant les finalités et le strict cadre défini à l’Appendice 1.
En cas de résiliation des relations contractuelles, les modalités de suppression des données sont détaillées à l’Article XIII « Sort des données à la fin de la relation contractuelle ».
V. OBLIGATIONS GENERALES DES PARTIES
5.1. Obligations générales de INAGUA
De manière générale, INAGUA s'engage à :
▪ Traiter les Données suivant les finalités et le strict cadre défini en Appendice 1 et se conformer aux normes techniques et aux bonnes pratiques applicables n'agir que sur la seule instruction préalable du Client ne pas prendre une copie des Données, ne pas les communiquer à des tiers et à ne pas les utiliser à des fins autres que celles spécifiées au Contrat ;
▪ Ne pas exploiter ou traiter pour son propre compte et/ou pour le compte de tiers, à quelque fin que ce soit et de quelque manière que ce soit, les Données qui lui sont confiées par le Client responsable des traitements aux termes du contrat
▪ Mettre tous les moyens en sa possession au regard des stipulations contractuelles et des règles de l’art pour assurer la sécurité et la confidentialité des données à caractère personnel qui lui sont confiées prendre les précautions, les mesures et garanties nécessaires afin de préserver la confidentialité et la sécurité des Données et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés et plus généralement, mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les Données contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès autorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite sensibiliser le Responsable de Traitement aux risques éventuels liés aux Traitements mis en œuvre.
▪ Notifier au Responsable de Traitement toute survenance de faille de sécurité impactant directement ou indirectement les Données ou Traitements le concernant procéder à des sauvegardes régulières des Données
▪ Procéder régulièrement à des tests d’intrusion (ou Pentest) conformément aux dispositions du Règlement Européen pour la protection des données intervenir pour la correction des anomalies et vulnérabilités suivant les délais convenus dans les conditions contractuelles maintenir les matériels nécessaires au bon fonctionnement des Services, en ce compris toute nouvelle version, correctif, sauvegarde, archivage ou mise à jour, sans virus informatique, ver, bombe logique, cheval de Troie ou autre code destructeur, hostile ou espion.
▪ Garantir la confidentialité des Données à caractère personnel traitées veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de la présente Annexe : s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
▪ Ne prendre aucune copie des Données du Client / responsable de traitement sauf accord exprès de ce dernier prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut prendre en compte toute mise à jour, correction, suppression ou autres modifications communiquées par le Responsable de Traitement concernant les Données procéder à la destruction des Données hébergées suivant les instructions figurant en Appendice 1 désigner un interlocuteur privilégié chargé de représenter INAGUA. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission.
5.2. Obligations générales du Responsable de traitement
De manière générale, le responsable de traitement s’engage à :
▪ Fournir à INAGUA les données nécessaires à la sous-traitance ;
▪ Documenter par écrit toute instruction concernant le/les traitement(s) de données effectué(s) par INAGUA ;
▪ Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de INAGUA superviser le traitement ;
▪ Désigner un interlocuteur privilégié chargé de représenter le Responsable de traitement. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission.
VI. RESPECT DES INSTRUCTIONS
INAGUA s’engage à suivre strictement les instructions formulées par le Responsable de traitement pour la réalisation des opérations de traitement prévues par la présente Annexe.
En cas d’impossibilité ou de difficulté dans la réalisation de certaines instructions, INAGUA en informera le Responsable de traitement dans les meilleurs délais.
INAGUA peut formuler une demande écrite de dérogation aux instructions. INAGUA devra recueillir l’autorisation écrite, préalable et spécifique du Responsable de traitement pour pouvoir procéder à cette dérogation.
VII. PERSONNEL DE INAGUA
7.1. Qualification du personnel
INAGUA affectera à la réalisation des Services des équipes suffisantes et qualifiées disposant des compétences techniques et/ou fonctionnelles nécessaires à la fourniture des Services. Ces équipes sont formées à la règlementation en matière de protection des données à caractère personnel.
INAGUA s'engage à maintenir les membres clés de ses équipes pendant toute la durée d'exécution des Prestations, sauf en cas de maladie, d'incapacité temporaire ou de démission des intéressés. INAGUA s'assurera du transfert du savoir-faire entre la personne remplacée et son remplaçant.
7.2. Non-subordination du personnel
Il est ici précisé que les personnels INAGUA ne seront en aucune manière liés au Responsable de traitement, par un quelconque lien de subordination. La seule personne habilitée à prendre des mesures d'ordre disciplinaire, d'organisation de travail et d'une manière générale, à régler tous problèmes relatifs à la gestion du personnel, est INAGUA. Ainsi, le personnel de INAGUA demeure placé sous la seule autorité, direction et surveillance du Prestataire qui s’assure en sa qualité d’employeur de la gestion administrative, comptable et sociale de ses salariés et du respect par ceux-ci des règles et consignes en matière d’hygiène et sécurité.
VIII. APPEL A LA SOUS-TRAITANCE ULTERIEURE
INAGUA peut faire appel à un autre sous-traitant (ci-après « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, INAGUA informe avec un préavis d’un mois et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information indiquera clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance.
En cas de désaccord, le Responsable de traitement dispose du délai de préavis d’un mois à compter de la date de réception de cette information pour récupérer ses Données et les supprimer du Service Applicatif.
Il est expressément convenu qu’en cas de silence du Responsable de traitement, celui-ci vaudra acceptation du sous-traitant ultérieur.
Le sous-traitant ultérieur est tenu de respecter les obligations de la présente Annexe pour le compte et selon les instructions du responsable de traitement. Il appartient à INAGUA de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, INAGUA demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
IX. INFORMATION DES PERSONNES CONCERNEES ET GESTION DES DROITS
9.1. Information des personnes
Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement mis en œuvre dans le cadre des Services.
9.2. Gestion des droits
Dans la mesure du possible, INAGUA aide le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), droit d'organiser le sort de ses données personnelles après la mort notamment.
Lorsque les personnes concernées exercent auprès de INAGUA des demandes d’exercice de leurs droits, ces demandes seront communiquées au Responsable de Traitement dans les 48 heures suivant leur réception par courrier électronique à l’adresse contact communiquée lors de l’activation des Services.
X. AIDE ET CONSEIL SUR LA MISE EN CONFORMITE
INAGUA met tous les moyens nécessaires pour aider le Responsable de traitement dans la réalisation d’analyses d’impact relative à la protection des données ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.
A ce titre, INAGUA met à la disposition du Client une fiche de traitement ainsi qu’une procédure standardisée afin de les assister dans l’accomplissement de leurs obligations légales et réglementaires en tant que responsable de traitement conformément aux dispositions de la Loi Informatiques et Libertés et du Règlement Européen sur la protection des données.
Il est rappelé qu’INAGUA met à disposition du Client un outil de gestion de bases de données, le Client a toute autonomie pour déterminer les finalités du traitement, les données personnelles pertinentes et les durées de conservation adéquates au regard de ces finalités.
Dans le cas où INAGUA est informée par le Responsable du traitement d’une pratique qui lui semblerait contraire à la réglementation en matière de protection des données à caractère personnel, INAGUA en informera le Responsable de traitement par voie électronique.
XI. MESURES DE SECURITE
INAGUA s’engage à mettre en œuvre les mesures de sécurité organisationnelles et techniques prévues en Annexe 2.
INAGUA dispose en effet de mesures de sécurité technique et d'organisation adaptées aux traitements et opérations à effectuer. Il est convenu entre les Parties que le contrat les liant ainsi que la fiche figurant en Annexe 2 pourront être mis à disposition de la CNIL en cas de contrôle.
Le Client bénéficie d'un droit d’audit des mesures mises en place pour assurer la sécurité et la confidentialité des Données détaillé à l’article XIX de la présente Annexe.
Un suivi opérationnel des engagements de sécurité est mis en œuvre par les Parties tout au long de la durée de la relation contractuelle. Un Correspondant sécurité pourra ainsi être désigné par les Parties pour traiter ces questions et notamment être contacté en cas d’anomalie touchant la sécurité ou la confidentialité des Données et Traitements.
XII. VIOLATION DE DONNEES A CARACTERE PERSONNNEL
INAGUA notifie au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance par message électronique et par xxxxxxxx avec accusé de réception.
Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Le représentant de INAGUA participera, sur seule demande du Responsable de traitement, au comité de crise éventuellement déclenché par le Responsable de traitement qui se réunira lors de la survenance d’une violation de données à caractère personnel.
Le Responsable de traitement fera son affaire de la notification de violation auprès de l’autorité de contrôle compétente (la CNIL) des violations de données à caractère personnel impliquant l’Application, le Logiciel ou les Services dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.
La notification contient au moins :
▪ La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
▪ Le nom et les coordonnées du point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ;
▪ La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
INAGUA s’engage à collaborer avec le Responsable de traitement pour qu’il puisse communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation implique l’Application, le Logiciel ou les Services et qu’elle est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. Les frais engagés pour cette communication seront supportés par le Responsable de traitement.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
▪ La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
▪ Le nom et les coordonnées du point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ;
▪ La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
INAGUA s’engage à mettre en place les mesures raisonnables visant à la cessation des effets de la violation des données à caractère personnel, en consultation avec le client pour limiter tout effet négatif sur les personnes affectées par la violation.
XIII. SORT DES DONNEES A LA FIN DE LA RELATION CONTRACTUELLE
Au terme de la prestation de services relatifs au traitement de ces données, il est rappelé que le Client a la possibilité à tout moment de récupérer les Données lui appartenant grâce à l’action « exporter » qui génère un fichier dans un format standard réutilisable par des logiciels standards du marché (format CSV ou XLSX).
L’ensemble des fichiers (Pièces Jointes) associées à un DAMAaaS pourra également être exporté vers l’environnement du Client dans un fichier compressé. Le nom de chaque pièce jointe exportée faisant référence de façon non ambigüe à la fiche et au champ duquel elle est issue.
XIV. TENUE DU REGISTRE DES ACTIVITES DE TRAITEMENT
INAGUA déclare tenir par écrit un registre de toutes les catégories d’activités de traitement (outil de gestion de bases de données en ligne, gestion d’un module de signature électronique, mise à disposition d’un outil de gestion de worflow en ligne, gestion des comptes utilisateurs, …) effectuées pour le compte du Responsable de traitement comprenant :
▪ Le nom et les coordonnées du Responsable de traitement pour le compte duquel elle agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
▪ Les catégories de traitements effectués pour le compte du Responsable du traitement ; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
▪ Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins : le chiffrement des données à caractère personnel ;
▪ Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
▪ Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place par l’hébergeur pour assurer la sécurité du traitement (Annexe 2).
INAGUA met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par un auditeur dument mandaté par les Parties, et contribuer à ces audits.
XV. TRANSFERTS DE DONNEES EN DEHORS DE L’UNION EUROPENNE
INAGUA s'engage à héberger ou faire héberger les Données sur le territoire français et, le cas échéant, à reporter sur le prestataire hébergeant les Données l’ensemble des obligations stipulées au sein de la présente Annexe.
Dans l’hypothèse où INAGUA serait toutefois tenue de procéder à un transfert de données vers un pays tiers situé hors de l’Union Européenne ou à une organisation internationale, pour un motif relevant du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle informera le responsable du traitement de cette obligation juridique avant le transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
XVI. PROPRIETE DES DONNEES
Sauf accord exprès contraire, le Responsable de traitement demeure seul propriétaire des Données générés dans le cadre de son utilisation du Logiciel. INAGUA ne pourra revendiquer aucun droit sur les données publiées par le Responsable de traitement. Les statistiques anonymisées d’utilisation du Logiciel et des Services sont la propriété de INAGUA.
XVII. RESPONSABILITE
Etant donné la nature des activités respectives des Parties, des risques associés à ces activités et la contrepartie que chaque Partie retire de leur relation contractuelle, il est convenu que les risques y afférent seront répartis comme suit.
En cas de responsabilité de INAGUA envers le Responsable de traitement ou envers tout tiers du fait de la mauvaise ou de la non-exécution par INAGUA ou ses sous-traitants de ses obligations contractuelles, INAGUA sera responsable des seuls dommages directs subis par le Responsable de traitement.
En tout état de cause, le régime de responsabilité prévu au Contrat s’appliquera en cas de mise en œuvre de la responsabilité d’INAGUA au titre de la présente Annexe.
INAGUA devra mettre en œuvre tous les moyens nécessaires pour assurer la sécurité des traitements, et sera dès lors responsable des dommages liés à une défaillance de sécurité imputable à INAGUA ou à ses sous-traitants entrainant une indisponibilité, une perte de traçabilité, un doute sur l’intégrité ou un défaut de confidentialité des données à caractère personnel. Il est néanmoins expressément convenu entre les parties que le risque zéro en matière de sécurité n’existe pas et que l’obligation de sécurité n’est en aucun cas une obligation de résultat
XVIII. CONFIDENTIALITE – SECRET PROFESSIONNEL
18.1 Informations confidentielles
Dans le cadre des présentes, les termes "Information(s) Confidentielle(s)" recouvrent toutes informations ou tous documents divulgués par l’une des Parties à l’autre Partie, par écrit ou oralement, répondant aux conditions du présent article, et incluant sans limitation tous documents écrits ou imprimés, tous échantillons, modèles, données communiquées par le Responsable de traitement, ou par INAGUA, ou en résultant, ou plus généralement tous moyens de divulgation de l'Information Confidentielle.
Relèveront des dispositions des présentes les informations ou documents, quelle qu'en soit la forme, transmis par une Partie et désignés comme Informations Confidentielles par l'apposition ou l'adjonction sur leur support d'un tampon ou d'une formule ou par l'établissement et la remise ou l'envoi d'une notification écrite à cet effet, ou lorsqu'elles sont divulguées oralement, dont le caractère d'Information Confidentielle a été porté à la connaissance de l’autre Partie, au moment de leur divulgation, le caractère confidentiel s’applique également aux données qui par nature sont confidentielles, indépendamment d’une telle mention.
18.2 Obligations des Parties
Chaque Partie s'engage pendant la durée de leur relation contractuelle, et pour une durée indéterminée à compter de son expiration pour quelque cause que ce soit, à ce que toutes les informations (notamment documents, savoir-faire, méthodes, de quelque nature que ce soit) qui auront été échangées dans le cadre de leur relation :
▪ soient protégées et gardées strictement confidentielles et soient traitées avec le même degré de précaution et de protection qu'elle accorde à ses propres informations confidentielles de même importance ;
▪ ne soient divulguées de manière interne qu'aux seuls membres de son personnel ayant à en connaître et ne soient utilisées par ces derniers que dans le but défini par les présentes ; ne soient pas utilisées, totalement ou partiellement, dans un autre but que celui défini par les présentes, sans le consentement préalable et écrit de l’autre Partie ;
▪ ne soient ni divulguées ni susceptibles de l'être, soit directement, soit indirectement à tout tiers ou à toutes personnes autres que celles mentionnées à l'alinéa (b) ci-dessus ; ne soient ni copiées, ni reproduites, ni dupliquées totalement ou partiellement lorsque de telles copies, reproductions ou duplications n'ont pas été autorisées par l’autre Partie et ce, de manière spécifique et par écrit ;
▪ Toutes les informations et leurs reproductions, transmises par l’une des Parties, resteront la propriété de la Partie qui les a divulguées et devront être restituées à cette dernière immédiatement sur sa demande.
18.3 Effet post-cessation des relations contractuelles
Le terme ou la résiliation du Contrat n'aura pas pour effet de dégager les Parties de leur obligation de respecter les dispositions de l’article 18.2 des présentes concernant l'utilisation et la protection des informations reçues avant la date de la résiliation ou l'arrivée du terme. Les obligations contenues dans ces dispositions restent en vigueur pendant la période définie audit paragraphe. Il est entendu que chaque partie peut communiquer les informations confidentielles à ses assureurs, conseils, avocats, personnes en charge de l’audit et du contrôle interne ou à toute administration ou juridiction.
Il est ici précisé que les Données personnelles sont des informations confidentielles mais qu’elles ne peuvent en aucun cas, être révélées, tant que la personne concernée ne les a pas elle-même révélées au public.
XIX. AUDIT
Afin de mesurer objectivement la sécurité de l’Application, le Responsable de traitement pourra faire réaliser à ses frais des audits de sécurité de l’Application incluant des tests d’intrusions, dans le respect des conditions prévues au présent article et dans la limite de 1 audit par an.
Le Responsable de traitement devra obtenir l’accord écrit de INAGUA au minimum 30 jours avant la réalisation de l’audit. Le Responsable de traitement devra communiquer toutes les informations utiles relatives au test d’intrusion et notamment :
▪ Les coordonnées de l’auditeur et des personnes en charge de l’audit ;
▪ Les adresses IP utilisées pour conduire les tests d’intrusion les outils utilisés pour le test.
Les opérations d’audit ne devront pas comporter d’actions pouvant potentiellement endommager l’infrastructure hébergeant l’Application ni interférer avec les Services procurés par INAGUA aux autres Clients.
Les informations obtenues au cours de l’audit sont des Informations Confidentielles.
Si le Responsable de traitement fait appel à un auditeur externe, ce dernier devra s’engager par écrit au respect des conditions fixées au présent article.
Le Responsable de traitement s’engage à communiquer gratuitement le rapport d’audit à INAGUA qui pourra présenter ses observations.
Sans préjudice de la faculté de résiliation ci-après prévue, INAGUA disposera d’un délai de trois (3) mois à compter de la communication du rapport pour corriger les manquements et/ou non-conformités constatés.
XX. CONVENTION SUR LA PREUVE
La présente Annexe représente l’intégralité de l’accord des Parties relatif à l’encadrement du traitement de données à caractère personne effectués par INAGUA pour le compte du Responsable de traitement. Il annule et remplace tous les documents, accords, contrats préalables, verbaux, écrits, intervenus entre les Parties concernant les mêmes
Prestations en matière de traitement de données à caractère personnel.
Seul un avenant écrit et signé par un représentant dument habilité par chaque partie pourra modifier les engagements prévus à la présente Annexe
ANNEXE 1 - APPENDICE 1
INSTRUCTIONS DU RESPONSABLE DE TRAITEMENT
Dans le cadre de la mise en œuvre des Services, le Responsable des traitements donne instruction à INAGUA de mettre en œuvre les Traitements de Données à caractère personnel selon les modalités et les garanties définies ci-dessous :
Informations générales | |
Nom du traitement | Service Applicatif DAMAaaS |
Qualité de l'entreprise Cliente | Responsable de traitement |
Application(s) utilisée(s) | Plateforme DAMAaaS |
Responsable de traitement | |
Responsable de traitement | le Client |
Délégué à la protection des données du Responsable de traitement
Coordonnées du DPO | *Nom Prénom Email du DPO* |
Représentant (en cas de Client basé hors UE traitant des données de citoyens européens) | |
Coordonnées du représentant du Client |
Catégories | |
Catégorie principale | Mise à disposition d’un outil de gestion de bases de données en ligne |
Sous-Catégorie 1 | Mise à disposition d’un outil de gestion de Workflow en ligne |
Sous-Catégorie 2 | Gestion des comptes utilisateurs |
Sous-Catégorie 3 | Gestion d’un module de signature électronique |
Mesures de sécurité | |
Mesures de sécurité techniques | L’ensemble des mesures de sécurité techniques est décrit dans l’annexe 2 dédiée aux mesures de sécurité. |
Mesures de sécurité organisationnelles | L’ensemble des mesures de sécurité organisationnelles est décrit dans l’annexe 2 dédiée aux mesures de sécurité. |
Données personnelles concernées | ||
Catégories de données Description Délai d’effacement | ||
tat civil, identité, données d’identification | Gestion des Comptes : Email Signature électronique : Prénom, Nom, Email, Téléphone | Fin de la relation contractuelle Suppression de la donnée par le client. Règle de purge définie par le client. |
Catégories de personnes concernées | |
Catégorie de personnes 1 | Personnes dont les données sont intégrées à l’outil par le Client |
Destinataires et sous-traitant des données | |
Sous-traitant | INAGUA |
Détail Adresse |
Sous-traitants de INAGUA |
Détail Catégorie de destinataires |
Fournisseur d'outil de gestion de bases de données 0 xxx xx Xxxxxxx Xxxxx, 00000 Xxxxxx-xxx-Xxxx xxxxxxx@xxxxxxx.xxx
OVH
YOUSIGN
OVH (hébergeur) : 0 xxx Xxxxxxxxxx - 00000 Xxxxxxx – France
Yousign : (signature électronique) : 0 xxx Xxxxx Xxxxx l’Abbé - 14 000 CAEN Clients et personnes habilitées par le Client
FICHE DE TRAITEMENT DU CLIENT (à compléter et à conserver dans le registre art. 30 du RGPD du Client)
Afin d’aider le Responsable de traitement à se conformer aux obligations prévues à l’article 30 du RGPD, INAGUA propose la fiche de registre ci-dessous :
Informations générales | |
Nom du traitement Date de création Mise à jour Application(s) utilisée(s) Service(s) concerné(s) | Plateforme DAMAaaS |
Finalités | |
Finalité principale Sous-finalité 1 Sous-finalité 2 Sous-finalité 3 Sous-finalité 4 | |
Mesures de sécurité | |
Mesures de sécurité techniques Mesures de sécurité organisationnelles | |
Données personnelles concernées | |
Catégories de données Description Délai d'effacement |
Etat civil, identité, données d'identification, images… Vie personnelle (habitudes de vie, situation familiale, etc.) Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.) Données de connexion (adresse IP, logs, etc.) Données de localisation (déplacements, données GPS, GSM, etc.) | ||
Présence de données sensibles - Attention le Service Applicatif DAMAaaS n’est pas destiné à héberger des données de santé | ||
Catégories de données Description Délai d'effacement | ||
Données révélant l'origine raciale ou ethnique Données révélant les opinions politiques Données révélant les convictions religieuses ou philosophiques Données révélant l'appartenance syndicale Données génétiques Données biométriques aux fins d'identifier une personne physique de manière unique Données concernant la santé Données concernant la vie sexuelle ou l'orientation sexuelle Données relatives à des condamnations pénales ou infractions Numéro d’identification national unique (NIR pour la France) | ||
Catégories de personnes concernées | ||
Catégorie de personnes 1 Catégorie de personnes 2 | ||
Destinataires et sous-traitant des données | ||
Sous-traitant | INAGUA Fournisseur d’outil de gestion de bases de données | |
Xxxxxx |
Xxxxxxx | 0 xxx xx Xxxxxxx Xxxxx, 00000 Xxxxxx-xxx-Xxxx | |
Téléphone Adresse mail | OVH, YouSign OVH (hébergeur) : 0 xxx Xxxxxxxxxx - 00000 Xxxxxxx - Xxxxxx Yousign : (signature électronique) : 0 xxx Xxxxx Xxxxx l’Abbé - 14 000 CAEN | |
Sous-traitants de INAGUA | ||
Détail | ||
Catégorie de destinataires 1 | ||
Destinataire 1 | ||
Transfert hors UE | ||
Type de garanties | ||
Destinataires | Pays | Lien vers le doc |
ANNEXE SECURITE
I. Mesures fonctionnelles de sécurisation du Service Applicatif
I.I. Hiérarchie des habilitations et des droits d’accès
I.I.I. La contractualisation avec INAGUA: étape de définition du Gestionnaire de Contrat
Pour contractualiser avec INAGUA, le Client doit prendre contact avec INAGUA pour signer un contrat (signature électronique possible). INAGUA crée ensuite un ID de contrat qui donnera lieu à des factures en fonction de la consommation en unités des Applications (ou DAMAaaS, ou Modules, ou Workflows) attaché(e)s au contrat. Les détails très précis de cette facturation sont décrits sur xxx.xxxxxxx.xxx/xxxxxx. Une personne identifiée dans le contrat devient alors Gestionnaire de contrat.
I.I.II. Le « Gestionnaire de contrat »
Le gestionnaire de contrat a le niveau d’habilitation le plus élevé sur un contrat client. Il accède et peut modifier certains paramètres du contrat. Il accède également aux tableaux de suivi des applications hébergée, des consommations et des factures.
Il habilite les co-gestionnaires du contrat et les administrateurs d’applications habilités à faire héberger leurs applications sous ce contrat (cf point suivant).
C’est aussi le seul rôle qui permet d’accéder aux informations sensibles et confidentielles du contrat :
▪ Clés d’identification automatique SSO. Voir chapitre I.VII.IX Identification automatique SSO.
▪ Clés de chiffrement pour le chiffrement des connecteurs Emails. Voir chapitre I.VII.III Chiffrement des mails dans les connecteurs
▪ Gestion des groupes LDAP du contrat. Voir chapitre I.VII.III L’alimentation automatique des groupes LDAP.
Pour autant, le gestionnaire de contrat ne peut accéder aux données des applications hébergées sous son contrat sans une habilitation explicite (administrateur ou utilisateur) donnée par les administrateurs des applications.
I.I.III. L’« Administrateur » d’application DAMAaaS
Un administrateur est une personne qui crée une application DAMAaaS ou qui est habilité comme administrateur par un autre administrateur.
Un administrateur peut créer, modifier et supprimer à tout moment tous les paramètres et toutes les données de son application.
La construction d’un workflow peut aussi se faire par duplication d’un Workflow existant. Pour pouvoir dupliquer une application, il faut être administrateur de cette application.
Il peut habiliter des co-administrateurs sur les applications pour lesquelles il est lui-même administrateur.
Les nouvelles applications DAMAaaS sont créées dans un mode « En construction » et détachées de tout contrat par défaut. Ce mode est limité au stockage de 10 fiches maximum, ce qui limite son intérêt à la construction et aux tests d’une nouvelle application.
I.I.IV. L’«Administrateur autorisé au contrat »
Déclaré et habilité par le Gestionnaire du contrat, l’administrateur autorisé au contrat a le droit d’attacher les applications DAMAaaS pour lesquelles il est administrateur, au contrat. Il a donc le droit de les rendre « facturables
». Un Administrateur autorisé au contrat peut donc rattacher des applications au contrat sans en référer au Gestionnaire de contrat. Le Gestionnaire de contrat pourra contrôler à travers des tableaux de bords et à tout moment les applications hébergées sous son contrat.
Si le gestionnaire de contrat veut rester maître des applications facturables ou non, il peut choisir d’être le seul administrateur autorisé au contrat et demander a chaque administrateur non autorisé de l’ habiliter en tant que co- administrateur de son application pour pouvoir rattacher l’application au contrat et accepter sa facturation.
Cela permet au gestionnaire de contrat de conserver une totale maîtrise des budgets,de s’assurer du respect des règles, de la conformité et bonnes pratiques « locales ». En revanche cela implique d’octroyer au gestionnaire de contrat un accès total à l’application (structure et données).
I.I.V. Le « Gestionnaire d’acteurs »
Déclaré par l’administrateur d’un DAMAaaS, c’est un utilisateur normal avec des droits supplémentaires permettant d’ajouter des acteurs (personnes physiques ou groupes de personnes) dans les rôles de ce DAMAaaS. Particulièrement utile pour les managers d’équipe pour lesquelles des utilisateurs doivent être ajoutés et retirés régulièrement et manuellement (Pour un automatisme, on préfèrera un connecteur décrit plus loin).
I.II. Mesures fonctionnelles de sécurisation et d’encadrement du fonctionnement du Service Applicatif
I.II.I. Liaison vers un autre workflow restreint à l’Administrateur d’application
Deux formulaires peuvent être liés par une référence de l’un vers l’autre. Pour cela, il faut être administrateur des deux workflows afin de concevoir une telle liaison. Une fois la liaison effectuée, il est possible de rapatrier dans un formulaire des données de l’autre formulaire. Exemple : Un workflow de « demande » est lié à un formulaire « collaborateur » pour renseigner l’auteur de la demande. Cela permet de rapatrier dans la fiche de demande, les informations nom et prénom, téléphone, hiérarchie du collaborateur. La conception propose tous les champs du formulaire source à rapatrier dans le formulaire cible. Des droits d’accès sont positionnables pour chacun de ces champs « externes » dans la matrice de droits d’accès locale. Voir DMatriX.
I.II.II. Gestion des habilitations applicatives : DmatriX
DAMAaaS permet la définition de « rôles » pour chaque Application. Ces rôles sont des notions fonctionnelles définissant les différentes parties prenantes au workflow :
▪ Chaque rôle se voit attribuer des droits de visualisation et édition de champs, de visibilité sur les fiches de workflows et d’utilisation de diverses fonctionnalités comme l’import/export.
▪ Chaque action (étape du workflow) peut être affectée à un rôle, un rôle n’a pas les mêmes droits qu’un autre et beaucoup d’autres fonctionnalités dépendent de ces rôles.
▪ La matrice d’habilitations de DAMAaaS, baptisée DMatriX est une vision sur une seule page de toute la gestion des habilitations pour chacun des rôles définis
Les « Acteurs » sont les personnes qui font partie d’un rôle. Ce sont des personnes physiques, identifiées par leur adresse email de connexion. Ces acteurs peuvent être affectés manuellement dans un ou plusieurs rôles à travers DMatriX.
Les acteurs peuvent appartenir à un groupe d’utilisateurs défini et maintenu au niveau du contrat. Ces groupes d’utilisateurs de niveau contrat sont disponibles pour toutes les applications rattachées au contrat à travers DMatriX
: un groupe est affecté à un rôle par un simple clic. Tous les acteurs du groupe sont alors dans le rôle.
Lorsque les acteurs du groupe sont modifiés au niveau du contrat, toutes les habilitations des applications qui utilisent ces groupes sont instantannément modifiées (gestion centralisée des accès).
La gestion de la matrice des droits DMatriX est réservée à 2 populations :
Les administrateurs : qui peuvent modifier tous les paramètres de DMatriX.
Les gestionnaires d’acteurs : habilités par les administrateurs, ces personnes n’accèdent qu’à la partie basse de DMatriX : celle qui permet d’ajouter ou supprimer des acteurs ou des groupes d’acteurs de rôles, sans pouvoir modifier les droits de chaque rôle.
I.II.III. Délégation de droits temporaire : les demandes de support auprès des équipes INAGUA
Tout client administrateur d’applications DAMAaaS obtient l’accès à une application « DAMAaaS – Support aux Administrateurs ». Toute demande effectuée au travers de cette application vaut instruction d’agir de la part du Client, responsable du traitement au sens du réglement RGPD.
▪ Cette application de demande de support est un Workflow DAMAaaS
▪ Elle permet d’enregistrer la demande d’intervention, d’en garder la trace et de suivre la résolution de la demande
▪ Elle permet d’enregistrer la satisfaction de nos clients sur 4 critères
En cas d’indisponibilité de la plateforme de remontée des incidents, un numéro d’urgence est disponible. Selon la nature de l’intervention demandée, INAGUA se réserve le droit de demander la confirmation écrite par e-mail de la demande orale d’intervention effectuée via ce numéro d’urgence.
Dans le cas d’une demande de support écrite et si la résolution du problème soulevé ou la réponse à la question posée nécessite des droits d’accès spécifiques à l’application du client, les collaborateurs d’INAGUA pourront :
▪ Demander au client une habilitation spécifique à l’administrateur de l’application
▪ S’auto-habiliter temporairement à l’application du client. Cette possibilité d’auto-habilitation étant réservée à une population très restreinte des collaborateurs d’INAGUA.
Dans tous les cas, l’accès aux données sensibles chiffrées par le client (cf fonction de chiffrement) restera impossible pour les collaborateurs INAGUA sans intervention de l’administrateur.
I.III Les fonctions de sécurisation des accès aux données de niveau Administrateur d’applications L’ensemble des fonctions décrites dans ce chapitre sont accessibles et paramétrables lors de la conception des applications DAMAaaS par l’administrateur.
I.III.I. Filtrage IP des accès à une application
Il est possible de définir pour chaque application DAMAaaS une liste d’adresses IP autorisées à accéder à l’application (généralement l’adresse IP publique de l’entreprise cliente). L’application du filtre peut-être :
▪ stricte (aucun accès possible pour les terminaux utilisateurs ne possédant pas cette/ces adresses IP) ou
▪ large : dans ce dernier cas, lorsqu’un terminal utilisateur ne possédant pas une adresse IP valide tente de se connecter à une application filtrée, un code d’accès est envoyé à l’utilisateur par email. Si l’utilisateur est en mesure de restituer ce code à DAMAaaS il est alors autorisé à accéder à l’application. Cette application large du filtre IP permet d’autoriser les accès à l’application pour tous les utilisateurs possédant un accès à leur messagerie d’entreprise, généralement synonyme d’utilisation d’un terminal fourni par l’entreprise.
Ces modalités de filtrage IP des accès permettent de sécuriser l’ensemble des situations de travail des collaborateurs de l’entreprise, qu’ils soient physiquement dans les locaux de l’entreprise en en situation de travail en mobilité dans les conditions définies et contrôlées par leur entreprise.
I.III.II. Le renforcement de la politique générale des mots de passe par Application
Les mots de passe définis par les utilisateurs sur la plateforme DAMAaaS doivent répondre à des critères de complexité imposés par INAGUA : 8 caractères de longueur et 3 typologies de caractères.
Chaque client INAGUA peut choisir de renforcer la politique de renouvellement de mot de passe pour toutes les applications rattachées à son contrat : un utilisateur possédant un mot de passe plus ancien que le paramètre défini par le gestionnaire du contrat sera invité à le modifier lorsqu’il tentera d’accéder à une application.
Selon le choix du client, chaque application DAMAaaS pourra donc bénéficier d’une politique de renouvellement de mot de passe qui lui sera propre, plus restrictive ou plus souple que la valeur associée dans la politique générale de gestion des mots de passe d’INAGUA (en fonction de sa sensibilité).
I.III.III. La fonction de purge automatique des fiches
Pour chaque application DAMAaaS, l’Administrateur pourra définir une règle permettant de supprimer automatiquement des fiches. Cette règle est basée sur un champ date contenu dans chaque fiche. Ce champ date pourra être calculé selon des critères propres à chaque application selon les besoins règlementaires et/ou applicatifs. Lors de la purge toutes les informations sont supprimées, y compris les documents rattachés à la fiche.
I.III.IV. La définition de mots interdits
Le Service Applicatif permet aux Administrateurs d’applications de définir des mots interdits que leurs utilisateurs ne pourront pas saisir lors de l’utilisation des formulaires qu’ils définissent et paramètrent.
Cette fonctionnalité, présente et actionnable sans surcoût, donne aux Administrateurs la faculté de s’assurer de la conformité de leurs traitements au règlement RGPD.
I.III.V. Le chiffrement avancé des champs de formulaire de l’application : DLock
Pour renforcer le niveau de sécurité fourni par l’hébergeur de la solution DAMAaaS, INAGUA a conçu une solution avancée de chiffrement de certains champs texte du formulaire, jugés comme ultra sensibles. L’objectif de DLock est de garantir que personne d’autre que les utilisateurs du client, habilités par le client, ne peut déchiffrer la donnée de la base de données.
Cette fonctionnalité est accessible au niveau Administrateur d’application lors de la conception des applications/traitements. Elle est une option supplémentaire (soumise à tarification particulière).
La mise en œuvre particulière de cette option donne à l’administrateur d’une application une garantie supplémentaire de confidentialité des données qu’il choisit de traiter, y compris vis-à-vis d’un administrateur malveillant possédant des droits d’accès étendus à la plateforme logicielle ou à l’infrastructure d’hébergement.
Ce chiffrement peut être effectué sur toutes les données de type texte et discussion ou peut aussi être utilisé pour chiffrer la clé d’accès aux champs de type Pièce Jointe. Attention, concernant les données de type texte et discussion, cette option limite les opérations pouvant être effectuées sur ces données, en particulier, on ne pourra plus effectuer de recherche « full texte » de tri ni de filtre.
Le principe est de baser les clés de déchiffrement sur le mot de passe de l’utilisateur qui est fourni à chaque authentification et qui n’est jamais stocké dans notre base de données. Ainsi, la clé de déchiffrement qui est propre à chaque module DAMAaaS n’est jamais déchiffrable par le Staff INAGUA ni le staff de l’hébergeur. Algorithmes utilisés : AES256 et RSA2048.
En résumé : une clé spécifique à chaque application est créée et dupliquée pour chaque utilisateur de l’application. Chaque copie est chiffrée à l’aide d’une clé publique propre à chaque utilisateur : cela signifie qu’il sera le seul à pouvoir utiliser sa copie de clé en utilisant sa clé privée. Sa clé privée est elle-même chiffrée à l’aide de son mot de passe pour garantir qu’il soit le seul à la connaitre.
X.XXX.XX. Le chiffrement des documents attachés dans les fiches
Les documents sont stockés dans un espace sécurisé sur le serveur applicatif (même sécurisation de stockage que la base de données). Afin de protéger ces fichiers, le nom des fichiers ainsi que leur contenu est chiffré par l’algorithme 3DES avec une clé unique à chaque fichier, stockée en base de données. Ainsi, le répertoire de stockage est inutilisable tel quel.
Ce chiffrement du contenu peut être cumulé avec DLock, ainsi la clé de chiffrement du fichier et le nom du fichier sont eux-même chiffrés par le mécanisme DLock, protégeant totalement la confidentialité des fichiers même visà- vis du Staff INAGUA.
II. Mesures techniques de sécurisation du Service Applicatif DAMAaaS
II.I. Préambule sur la sécurité dans DAMAaaS
DAMAaaS est un précurseur de la sécurité des services en ligne. Un niveau exceptionnel dans le milieu des SELI a été atteint grâce aux mesures de sécurité que nous décrivons par la suite. Ce savoir-faire doit rester confidentiel car il est pour INAGUA qui en est l’auteur un avantage concurrentiel majeur.
Notre page commerciale sur la sécurité : xxxxx://xxx.xxxxxxx.xxx/xxxxxxxx
Toute communication avec le Service Applicatif DAMAaaS est cryptée. L’accès aux Applications utilise le protocole HTTPS : données chiffrées par un certificat SSL.
II.II. La Sécurité physique
II.II.I. Sous traitance d‘infogérance et d’hébergement
Notre infrastructure est infogérée et hébergée. Ces deux notions de sous traitance sont très différentes. L’infogérance et l’hébergement de DAMAaaS sont sous traités à DigitalNetwork.
DigitalNetwork sous-traite l’hébergement à OVH.
II.II.II. La sécurité de l’hébergement
La sécurité de notre base de données est tout d’abord garantie par la sécurisation de son lieu de stockage et les règles d’accès strictes suivies par INAGUA et ses fournisseurs.
Ces règles s’appuient sur un système avancé d’habilitations dont bénéficient les ressources humaines sur les serveurs et les bases de données :
▪ Le personnel INAGUA ayant des accès production : 1 personne Xxxxxxx XXXXX avec délégation temporaire possible en cas d’indisponibilité
▪ Le personnel d’infogérance des infrastructures de l’hébergeur : plusieurs personnes
L’hébergeur est le propriétaire du matériel physique. Il s’occupe d’assurer toute la sécurité réseau, physique du datacenter, les branchements des serveurs au réseau ethernet et électrique.
Les serveurs sont livrés à l’infogéreur, l’hébergeur n’a techniquement pas l’accès logiciel à ces machines et donc pas d’accès aux données DAMAaaS.
II.II.III. La sécurité de l’Infogérance
L’infogéreur est l’administrateur de nos serveurs, il maintient les serveurs à jours, en particulier sur les patchs sécurité, il paramètre et maintient notre socle applicatif sur les points suivants :
▪ Configuration du système d’hypervision (lien entre les serveurs physiques hébergés et les VM)
▪ Puissance de chaque VM de notre infrastructure
▪ Paramétrage du réseau (proxy / firewalls)
▪ Installation du socle d’exécution sur les VM
▪ Paramétrage et optimisation de PHP et de la base de données
Il ne s’occupe pas d’installer l’application DAMAaaS ni sa base de données.
Bien qu’il en ait techniquement la possibilité, son contrat lui interdit l’accès aux données.
II.II.IV. La localisation de l’hébergement
Le Service Applicatif est hébergé en France dans un DataCenter tiers 4, le plus haut niveau de sécurité disponible sur du matériel à tolérance de panne.
Les Pièces Jointes ainsi que les Données sont hébergés en France (CF Sécurité de l’hébergement). Les pièces jointes sont chiffrées avant d'être stockées.
INAGUA et ses fournisseurs/sous-traitants ont mis en place des contrôles efficaces de protection contre les accès physique et électronique non autorisés aux systèmes d’exploitation et aux applications d’INAGUA, ainsi qu’aux renseignements confidentiels des Clients. Ces contrôles procurent une assurance raisonnable que l’accès aux
systèmes et aux Données des Clients est limité aux personnes autorisées et que les renseignements confidentiels des Clients sont protégés contre toute utilisation non conforme à leur usage.
II.II.V. La sécurité de l’hébergement : Infrastructure en cas de serveur dédié
L’infrastructure comporte deux VM LAMP (Linux Apache MariaDB PHP). Ces VMs peuvent être séparées en deux groupes de deux VM pour séparer le serveur applicatif du serveur de base de données. Spécifique à la demande expresse du Client pour effectuer un contrôle donné. Ce service sera facturé de façon spécifique
Les sauvegardes sont destinées à conserver la preuve de l’état des données à un instant donné. Elles pourront être restaurées sur un environnement.
Les sauvegardes n’ont pas vocation à être utilisées pour restaurer en environnement de production des Données ou une Application supprimés par erreur par le Client.
Grâce à cette architecture :
▪ La haute disponibilité de l’application est assurée
▪ La perte de données maximale est minimisée
Les délais d’interruption en cas de désastre sont minimisés
XX.XX.XX. La sécurité du stockage des pièces jointes
Les pièces jointes sont chiffrées par le serveur du Servcie Applicatif avant d’être déposées sur l’infrastructure de stockage des pièces jointes, elle aussi située en France.
II.II.VII. La sécurité du stockage des mots de passe
Les mots de passe sont tout d’abord hachés par le client pour être transférés au serveur sur 40 caractères, ils sont ensuite hachés par l’algorithme Blowfish, le meilleur algorithme de hashage de mots de passe en 2018 grâce à sa lenteur. Seuls les hash blowfish sont stockés sur la BDD.
II.II.VIII. Les Sauvegardes
La sauvegarde de la base de données des Applications est effectuée toutes les heures sur deux sites géographiques différents.
La durée de rétention de ces sauvegardes est définie de la façon suivante :
- Les sauvegardes mensuelles sont conservées pendant 1 an ;
- Les sauvegardes hebdomadaires sont conservées 5 semaines ;
- Les sauvegardes quotidiennes sont conservées 7 jours ;
- Les sauvegardes toutes les 4 heures sont conservées 1 journée.
II.III. La Sécurité applicative
II.III. I. La Sécurité applicative - Généralités
Les principales failles de sécurité exploitées visent les failles de développement des applications. Notre obsession dès la création de DAMAaaS est la sécurité applicative :
▪ Prise en compte OWASP dans le cadre du développement
▪ Assurer la confidentialité et l’intégrité des données au cœur du code de l’application
▪ Cela se traduit concrètement par :
o Une gestion des habilitations en profondeur, c’est-à-dire à chaque étage de l’application :
• Sur l’interface (n’afficher que ce à quoi l’utilisateur a droit)
• Sur l’execution du programme (n’exécuter que les actions autorisées par l’habilitation définie)
• Sur les données (ne sortir de la base de données que les données autorisées)
o Des vérifications techniques systématiques des données saisies (attaques de type Injection de code JS et SQL)
o Des vérifications systématiques des habilitations des utilisateurs à chaque requête (protection contre le CSRF)
o Des jetons anti CSRF sont en place sur certaines fonctionnalités critiques (protection contre XSS)
II.III. II. Sous-traitance de la signature électronique
INAGUA a intégré au Service Applicatif une option de signature électronique. Ce service optionnel est fourni par la société Yousign (RCS 794 513 986), tiers de confiance inscrit à la Fédération Nationale des Tiers de Confiance (xxxxx://xxxx-xxxxxxxxx.xxx/xx/xxxxxxxxx-xxxx/xxxxxxxx-xxxxxxx.xxxx) et certifié conforme au règlement européen 910/2014 du parlement européen et du conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS). Certificat délivré par la société LSTI sous le numéro 11125-1144-V1.0
(xxxxx://xxxxxxx.xxx/xx-xxxxxxx/xxxxxxx/0000/00/Xxxxxxx_X000_X-Xxxxxxxxxx-xx-xxxxxxxxxx-xXXXX.xxx).
Yousign fait partie de la liste des Autorités de Certification Françaises délivrant des certificats de signature conformes au RGS (xxxxx://xxx.xxxxxxx-xxxxxxx.xxxx.xx/?xxxxxxxxxxx.XxxxxXxXXX&xxxxxxXxxxxxxxxxxxxxx). INAGUA utilise des API Yousign : xxxxx://xxxxxxx.xxx/xxxxxxxxxxxxxx/
Yousign délivre des signatures électroniques de niveau "Simple" et "Avancé". Seul le niveau "Simple" est disponible à travers la plateforme DAMAaaS : signature par code SMS d'un document envoyé par email sans contrôle formel de l'identité du signataire. La preuve repose donc sur l'adresse email et le numéro de téléphone utilisés.
Le document signé peut-être soit conservé sur la plateforme DAMAaaS comme un document standard, soit transféré par le Client depuis DAMAaaS vers tout autre support électronique de son choix.
Le dossier de preuve est archivé 10 (dix) ans sur les infrastructures d'archivage légal de la société CDC ARKHINEO (RCS B 435 405 923).
II.III.III. Sécurité applicative – Traces
A l’intérieur d’un workflow, le besoin de traces est fonctionnel et très important. C’est pourquoi nous l’avons rendu systématique et accessible :
▪ Pour chaque fiche DAMAaaS, un bouton d’horloge est disponible. Il permet d’afficher un historique horodaté de toutes les modifications effectuées sur la fiche.
▪ L’historique des modifications conserve la même sécurisation que les données du formulaire.
▪ Pour chaque action déclenchée pour un utilisateur, on enregistre une ligne dans l’onglet Rapports/Actions avec la date de démarrage de l’action, le responsable, la date de clôture et les durées de cette action.
Chaque requête des utilisateurs est tracée dans les logs techniques de l’application. Ces logs ne sont pas visibles par les utilisateurs, ils stockent l’email de l’utilisateur, le contrôleur appelé dans PHP et l’action appelée. Ces informations sont utilisées principalement pour du support applicatif.
Certaines opérations sensibles sont aussi enregistrées dans les logs techniques.
Les logs d’erreurs sont aussi conservés pour du support applicatif, ils sont purgés selon les besoins de stockage du serveur.
Aucune information personnelle et confidentielle n’entre dans les logs techniques de l’application.
Chaque mise en production passe par un processus tracé permettant de savoir quelle version du code source a été déployée à quelle heure. Cela préserve la trace de toute modification de « l’algorithme ».
II.III.IV. Sécurité applicative : Webservices REST avec authentification JWT
Afin de permettre aux SI clients l’interaction automatisée avec les workflows DAMAaaS, nous proposons la construction de connecteurs de communication basés sur des WebServices REST. L’appel à un webservice REST doit être authentifié à l’aide d’un jeton JWT obtenu par un premier appel d’authentification à DAMAaaS. Ce premier appel envoie un login/mot de passe qui permet la certification de l’identité, ainsi que la récupération des habilitations de ce login. XXXXxxX renvoie alors un jeton JWT transportable qui pourra être délivré dans les différents appels aux webservices DAMAaaS. Documentation : xxxxx://xxx.xx.
II.III.V. Sécurité applicative : Identification automatique SSO
Cette brique optionnelle permet aux utilisateurs de ne pas saisir de mot de passe lors de la connexion à l’environnement DAMAaaS. Le principe repose sur la mise en place d’un serveur de confiance chez le client qui garantit l’identité de l’utilisateur et lui transmet un jeton d’authentification qui permet à l’utilisateur de se connecter à DAMAaaS en un seul clic, grâce à une redirection authentifiée vers le serveur damaaas. L’algorithme est confidentiel mais peut être présenté dans une audition dédiée. Algorithmes utilisés : SHA512.
XX.XXX.XX. Sécurité applicative - Alimentation automatique des groupes d’utilisateurs
Selon les applications et traitements souhaités par le client , des groupes utilisateurs peuvent être alimentés manuellement par le Gestionnaire de contrat.
Il est également possible d’alimenter automatiquement des groupes d’utilisateurs (équipes, fonctions, …) par un connecteur avec le SI du client. Une interface sécurisée d’alimentation de ces groupes par mail est fournie par INAGUA.
II.III.VII. Sécurité applicative - Chiffrement des mails dans les connecteurs
La transmission d’information par email à contenu chiffré est un canal de communication développé par INAGUA garantissant la non répudiation, l’intégrité et la confidentialité des données envoyées via SMTP, un canal par défaut peu sécurisé.
L’objet du mail permet d’indiquer le contrat et le module DAMAaaS que l’on veut alimenter.
La pièce jointe est un updateforms.csv son contenu est chiffré et illisible. Le corps du mail n’a pas d’importance, il peut être vide.
Notre connecteur sur le serveur destinataire va ouvrir ce mail et tenter déchiffrer la pièce jointe avec la clé AES256 dont il dispose pour le contrat cité en objet du mail. Cette clé a été au préalable échangée avec le client et a servi à chiffrer le fichier. Si le déchiffrement réussit, les trois critères de sécurité sont remplis :
▪ Non répudiation : c’est la clé du client qui a permis de déchiffrer et il est le seul à la posséder
▪ Intégrité : un fichier chiffré ne peut pas être modifié sans être rendu indéchiffrable
▪ Confidentialité : un fichier chiffré ne peut pas être lu sans la clé qui est confidentielle
III. Mesures Organisationnelles de Sécurité
III.I. Gouvernance DAMAaaS
Développement
▪ Le développement d’une fonctionnalité ou le correctif d’un bug par INAGUA passe par les étapes suivantes :
o Description du travail à faire
o Développement de la fonction sur un environnement de DEV avec tests unitaires
o Déploiement du code sur l’environnement PREPRODUCTION
o Recette fonctionnelle de la fonction et tests de non-régression Déploiement du code en PRODUCTION
▪ Ce processus de développement est piloté par un workflow DAMAaaS
Gestion des incidents clients
▪ Tout client administrateur d’un DAMAaaS obtient l’accès à une application de déclaration d’incident. Toute déclaration d’incident effectuée au travers de cette application vaut instruction d’agir de la part du client, responsable du traitement au sens du réglement RGPD.
▪ Cette application de demande de support est un Workflow DAMAaaS
▪ Il permet d’enregistrer la demande d’intervention, d’en garder la trace et de suivre la résolution de la demande
▪ Il permet d’enregistrer la satisfaction de nos clients sur 4 critères
▪ En cas d’indisponibilité de la plateforme de remontée des incidents, un numéro d’urgence est disponible.
Gestion des incidents d’infrastructure
▪ Un module de déclaration d’incident est disponible auprès de l’infogérant
▪ Leur délai moyen de réponse sur une année est de 10 minutes
▪ L’infogérant informe INAGUA dès qu’un problème est identifié et qu’il peut impacter le Service Applicatif.
▪ En cas d’incident touchant le Service Applicatif, INAGUA informe par email une liste d’Administrateurs d’applications et de Gestionnaires de contrat abonnés à ce type de diffusion.
III.II. Disponibilité du Service Applicatif
INAGUA est responsable de la disponibilité du Service Applicatif jusqu'au réseau Internet. Il met en oeuvre les meilleures pratiques techniques pour offrir une disponibilité optimale :
Le Logiciel ainsi que les Données sont hébergés en France chez un fournisseur dans un DataCenter tiers 4 (CF sécurité de l’Hébergement).
L’infrastructure est totalement dupliquée sur un second DataCenter tiers 4 distant du premier DataCenter. Les données du premier DataCenter sont synchronisées toutes les heures sur le second DataCenter.
En cas de sinistre majeur sur le premier DataCenter, la reprise d’activité s’effectue sur le second DataCenter quelques minutes après la prise de décision de basculer sur l’infrastructure de secours. La décision de reprise sur site de secours n’est volontairement pas automatisée. Elle aura lieu au plus tard dans les 4 heures qui suivent l’occurrence du sinistre majeur sur le site principal (DMIA).
En cas de reprise sur site de secours, la perte maximale de données sera d’une heure - heure de la dernière synchronisation (PDMA).
Les Pièces Jointes sont stockées dans 2 DataCenters situés en France.
Le Service Applicatif peut être occasionnellement suspendu en raison d'interventions de maintenance nécessaires au bon fonctionnement du Logiciel et de l’infrastructure hébergeant le Service Applicatif. En cas d’interruption du Service Applicatif pour maintenance, INAGUA s’engage à :
▪ Effectuer ces opérations hors des plages horaires 8h-20h
▪ Informer par email une liste d’Administrateurs d’applications et de Gestionnaires de contrat abonnés à ce type de diffusion.
III.III. Sécurité : accès des personnes habilitées par INAGUA (aux applications clients)
III.III.I. Accès aux locaux
Les locaux d’INAGUA n’offrent pas d’accès particulier aux données clients. Le Service Applicatif est hébergé sur des Datacenter distants. La sécurité d’accès aux serveurs est géré par des systèmes de mots de passe connus des collaborateurs mais sans lien avec la localisation physique d’INAGUA.
III.III.II. Accès restreint du personnel INAGUA en phase de co-construction (mode projet)
Durant les phases de co-construction, il est courant et admis que les clients aient recourt aux services du personnel habilité d’INAGUA. Durant ces phases, le personnel INAGUA est administrateur temporaire des applications et traitements exécutés avec DAMAaaS.
Dès lors que le Gestionnaire de contrat et/ou le(s) Administrateur(s) sont habilités au contrat Client, il est deleur responsabilité de laisser, modifier, supprimer les droits d’accès du personnel INAGUA.
III.III.III. Accès du personnel INAGUA aux applications sur demande des clients
Les demandes d’intervention que les clients pourraient faire ultérieurement se feront via l’application « DAMAaaS- Support aux administrateurs » qui fera preuve de l’instruction d’agir. Le cas échéant , si le client le demande par téléphone, INAGUA se réserve le droit de demander une confirmation écrite de cette demande orale.
III.III.IV. Accès aux bases
Cf chapitre II.II.II.
III.IV. Sécurité : accès des personnes habilitées par les clients
Dès lors que le client à contractualisé avec INAGUA, il est à même de gérer librement les droits d’accès, de modifications et de réversibilité des données qu’il prévoit de traiter avec le Service Applicatif.
Les niveaux d’habilitations et modalités de gestion des dits droits sont définis ci-dessus dans le chapitre I. Mesures Fonctionnelles de sécurité
Souscription d’une Offre en ligne
Seuls les Utilisateurs qui créent un Environnement de Travail ou qui sont habilités en tant qu’Administrateur d’Environnement de Travail par un autre Administrateur d’Environnement de Travail souscrivent à une Offre. De ce fait, ils sont responsables d’une utilisation des Services Applicatifs conforme au Contrat. Par délégation, ils sont également responsables d’une utilisation conforme des Services Applicatifs par les Initiateurs de Modules, les Administrateurs de Modules et les Acteurs qui administrent et utilisent les Modules de leur Environnement de Travail.
Tout Administrateur d’Environnement de Xxxxxxx, et par délégation, tout Utilisateur ayant un quelconque accès aux Modules de l’Environnement de Travail reconnait qu’il est seul et unique responsable de son ou ses utilisations des Services Applicatifs et des Données qu’il accepte d’héberger dans la Solution et accepte les CGS.
Lors de la création d’un Environnement de Travail par un Utilisateur, l’Offre souscrite par défaut est l’Offre FREE accessible à tous.
Par la suite, l’Administrateur d’Environnement de Xxxxxxx, s’il est Client Professionnel, pourra faire évoluer son Offre vers les Offre BUSINESS ou CORPORATE (la souscription d’une Offre CORPORATE est réalisée par l’équipe commerciale d’INAGUA).
A l’intérieur de l’Offre BUSINESS, l’Administrateur d’Environnement de Travail pourra passer à tout moment de l’Offre BUSINESS /Unité à l’Offre BUSINESS /Utilisateur et réciproquement.
Le prix de l’utilisation des Services Applicatifs et l’ensemble des fonctionnalités ou limites de chaque Offre sont décrits sur la page du site internet xxxxx://xxxxxxx.xxx/xxxxxx qui restera la référence en matière de pratique tarifaire. Les prix s’entendent en euros hors taxes.
Les consommations d’un Environnement de Travail bénéficiant d’une Offre BUSINESS ou CORPORATE sont facturées au Client Professionnel chaque fin de mois en fonction :
- Du nombre d’utilisateurs habilités aux Modules de l’Environnement de Travail le dernier jour du mois pour les Offres /Utilisateur.
- Du nombre et de la taille des Modules de l’Environnement de Travail le dernier jour du mois pour les
Offres /Unité (voir tableau ci-après pour le calcul du nombre d’unités consommées par un Module).
- Du nombre d’options payantes « à l’acte » consommées durant le mois écoulé.
- Du volume des fichiers stockés dans les fiches des Modules de l’Environnement de Travail le dernier jour du mois.
Les factures sont envoyées par mail aux correspondants désignés dans le paramétrage de l’Environnement de Travail et le montant correspondant est soit :
- Prélevé automatiquement sur le compte bancaire du Client Professionnel pour les Offres BUSINESS le
10 du mois suivant.
- Prélevé automatiquement sur le compte bancaire ou réglé directement par virement par le Client Professionnel selon les conditions spécifiées dans les conditions de l’Offre CORPORATE.
Comparaison des Offres
Le tableau ci-dessous présente les tarifs des Modules et des Options payantes attachés à chaque Offre.
Les tarifs et taux cités pourront être révisés chaque année à la discrétion d’INAGUA sans préavis en répercutant les hausses de l’indice Syntec.
Les redevances/prix afférents à la Solution feront ainsi l’objet d’une révision chaque mois de janvier, et ce indépendamment de la date de signatures des CGS par le Client selon la formule suivante : P = P0 x (S / S0), où
:
P correspond à la redevance/prix révisé ;
P0 correspond à la redevance/prix initial stipulé dans les CP ;
S correspondant au dernier indice Syntec publié à la date de révision,
S0 correspond à l’indice Syntec de référence retenu par le Contrat, soit l’indice du mois de Décembre 2023 égal à 310.1
La première révision de la redevance/prix interviendra au plus tôt le 01 Janvier 2025
En cas de disparition de l’indice Syntec, les Parties conviendront du choix d’un indice de remplacement qui sera le plus proche possible de l’indice disparu. A défaut d’accord entre les Parties, compétence expresse est donnée au Tribunal de commerce de Paris pour déterminer le nouvel indice à intégrer dans la formule de révision susmentionnée. Les frais qui en résulteront seront partagés également entre les Parties.
Tout retard dans la détermination de l’indice de remplacement ne devra avoir aucune incidence sur les paiements qui seront effectués aux échéances prévues et feront l’objet d’une régularisation ultérieure.
<.. image(Une image contenant texte, menu, capture d’écran, Police Description générée automatiquement) removed ..>
Nombre d’unités consommées par un Module (Offres /Unité)
Le nombre d’unités consommées par un Module dépend exclusivement du nombre de champs définis dans son Formulaire et du nombre de Fiches stockées dans ce Module le dernier jour du mois (y compris les Fiches supprimées non purgées encore en corbeille).
<.. image(Une image contenant texte, capture d’écran, Police, nombre Description générée automatiquement) removed ..>
Champs : Toutes les données définies dans le formulaire sont comptabilisées, à l’exception des « Champs de l’autre fiche ». Pour les modules de plus de 9 Unités (réservés aux Offres CORPORATE), le Client devra demander conseil auprès d’INAGUA pour construire des Modules qui restent performants.
STRICTEMENT CONFIDENTIEL INAGUA – TOUS DROITS RESERVES
Dégressivité des tarifs pour les Offres CORPORATE
L’Offre CORPORATE /Unité permettent l’achat d’unités d’avance pour permettre de bénéficier de tarifs dégressifs lié au nombre d’unités achetées en une seule fois selon le tableau ci-dessous.
<.. image(Une image contenant texte, capture d’écran, Police, ligne Description générée automatiquement) removed ..>
L’Offre CORPORATE /Utilisateur permet de bénéficier de tarif par utilisateur par mois dégressif en fonction du nombre d’utilisateurs selon le tableau ci-dessous.