CONTRAT D’HÉBERGEMENT

Préalablement à la conclusion du présent contrat (« le Contrat »), le CLIENT a pu vérifier l’adéquation à ses besoins des Services fournis par HORANET dans le cadre de ce contrat, et a pu recueillir auprès d’HORANET toutes les informations, précisions et conseils qui lui étaient nécessaires pour s’engager en toute connaissance de cause.

IL A ÉTÉ ARRÊTÉ ET CONVENU CE QUI SUIT

ARTICLE 1 - CONTRAT

1.1 Définitions

CLIENT : désigne une personne morale qui, par son représentant légal dûment habilité, souscrit un abonnement auprès d’HORANET pour l'utilisation du Service tel que défini au Contrat. Désigne également tout le personnel du CLIENT, embauché temporairement ou non.

Hébergement : désigne les prestations d’hébergement fournies par HORANET et qui permettent aux utilisateurs

du réseau internet d’accéder au(x) service(s) hébergé(s) (Cf Annexe 1).

Infogérance : désigne une prestation de support technique informatique.

Serveurs : désigne l’ensemble des moyens informatiques appartenant à HORANET, et qui sont reliés au réseau internet par tout réseau de communication.

Anomalie : désigne une défaillance affectant le service informatique fourni au CLIENT, reproductible en présence d’HORANET, se traduisant par l’inaccessibilité ou la perturbation des services informatiques vendus au CLIENT.

1.2 Documents Contractuels

Le Contrat ainsi que les documents intitulés « Annexe » constituent l’intégralité des engagements existant entre

les Parties. Il remplace et annule tout engagement oral ou écrit antérieur relatif à l'objet du Contrat.

Le Contrat est formé des documents contractuels suivants présentés par ordre hiérarchique de valeur juridique décroissante :

- le présent document ;

- les annexes au présent document.

En cas de contradiction entre une et/ou plusieurs dispositions figurant dans l'un quelconque de ces documents, le document de rang supérieur prévaudra.

1.3. Objet

Le CLIENT reconnaît avoir vérifié l’adéquation du service à ses besoins et avoir reçu d’HORANET toutes les informations et conseils qui lui étaient nécessaires pour souscrire au présent engagement en connaissance de cause.

Le présent contrat a pour objet de définir les conditions techniques et financières dans lesquelles HORANET

s’engage avec le CLIENT.

1.4. Durée

Le présent contrat s’applique par année civile, la première année à partir de la date d’effet indiquée sur les

annexes au prorata temporis jusqu’au 31 décembre suivant.

Il est ensuite reconduit tacitement, d’année en année dans la limite de trois ans, sauf dénonciation, adressée par lettre recommandée avec avis de réception, par l’une à l’autre des Parties, moyennant un délai de préavis de trois mois avant l’expiration de la période en cours.

Trois mois avant la date d’expiration du présent contrat, HORANET fera parvenir au CLIENT une proposition de renouvellement.

1.5 Obligations et Responsabilité d’HORANET

HORANET s’engage à héberger sur sa plate-forme technique le service en ligne fourni au CLIENT.

HORANET s’engage à assurer l’accès des utilisateurs au service en ligne vingt-quatre heures sur vingt-quatre, sept jours sur sept (24h/24, 7j/7).

XXXXXXX apportera tout le soin et la diligence nécessaires à la mise en œuvre d’un service d’une qualité conforme aux usages de la profession et à l’état de l’art.

Sous réserve de l’accord préalable du CLIENT, HORANET se réserve le droit d’interrompre le service pour procéder à une intervention technique afin d’améliorer son fonctionnement ou d’effectuer toute opération de maintenance qui exigerait une telle interruption.

En cas d’opération de maintenance planifiée, le CLIENT en sera avisé, par email, au moins 1 jour ouvré à

l’avance.

Dans le cas où les causes de la défaillance du matériel ou des logiciels clients ne seraient pas réparables en

l’état, HORANET en informera le CLIENT dans les meilleurs délais et lui indiquera les mesures à prendre.

HORANET s’engage à :

- effectuer un audit de sécurité sur les serveurs d’hébergement des sites internet ;

- monitorer les différents services afin de détecter les pannes éventuelles ;

- assurer la maintenance corrective et évolutive des différents logiciels et systèmes d’exploitation installés sur les différentes machines composant l’infrastructure matérielle du Site Internet.

Pour un sinistre permanent ayant un impact sur un seul serveur, notre plan de récupération après sinistre dispose des paramètres suivants :

- RPO (Recovery Point Objective) = 24 heures, c’est-à-dire qu’on peut perdre maximum 24 heures de travail

- RTO (Recovery Time Objective) = 4 heures, c’est-à-dire que le service sera de nouveau en ligne après 4 heures maximum

Pour les sinistres de Datacenters (un centre de données complet est complètement et définitivement arrêté), le plan de reprise après sinistre dispose de ces mesures :

- RPO (Recovery Point Objective) = 24 heures, c’est-à-dire que vous pouvez perdre un maximum de 24 h de travail si les données ne peuvent pas être récupérées et que nous devons restaurer la dernière sauvegarde quotidienne

- RTO (Recovery Time Objective) = 72 heures, c’est-à-dire que le service sera restauré à partir de la sauvegarde dans les 72 heures dans un centre de données différent. Ce temps n’inclut pas la durée de propagation des DNS qui est en dehors de notre responsabilité.

1.6 Obligations et Responsabilité du CLIENT

Le CLIENT s’engage à collaborer avec HORANET ou tout tiers qu’il se substituera de manière à faciliter l’exécution

des prestations de support, et plus particulièrement à :

- Désigner un interlocuteur privilégié auprès d’XXXXXXX, seul habilité à effectuer les déclarations d’Xxxxxxxx et responsable de la mise en œuvre des éventuelles instructions d’HORANET. Compte tenu de l’importance de la stabilité de cet interlocuteur, tout changement devra être signifié préalablement par écrit à HORANET. Cet interlocuteur devra avoir été préalablement informé des termes et conditions du présent contrat et disposer des compétences techniques requises pour s’assurer que les Anomalies déclarées correspondent aux demandes exprimées ;

- Fournir, à l’appui des demandes de support, toute information de nature à faciliter la recherche des causes

de cette Anomalie ;

- Le CLIENT est le responsable entier et exclusif des mots de passe nécessaires à l’utilisation de son service. HORANET dégage toute responsabilité pour toute utilisation illicite ou frauduleuse des mots de passe mis à la disposition du CLIENT. La fourniture des mots de passe est considérée comme confidentielle. Toute suspicion d’une divulgation, intentionnelle ou non, des mots de passe fournis, engage la responsabilité unique du CLIENT à l’exclusion de celle d’HORANET. En cas d’une demande de changement de mots de passe par le CLIENT, HORANET facturera ce service au temps passé sur cette opération ;

- Le CLIENT supportera seul les conséquences du défaut de fonctionnement du service consécutif à toute utilisation, par les membres de son personnel ou par toute personne auquel le CLIENT aura fourni son (ou ses) mot(s) de passe. De même, le CLIENT supporte seul les conséquences de la perte du ou des mot(s) de passe précités ;

- Le CLIENT s'engage à respecter l'ensemble des prescriptions légales et réglementaires en vigueur, et en particulier celles relatives à l'informatique, aux fichiers, aux libertés et à la propriété intellectuelle, ainsi que les droits des tiers, et s'engage notamment à faire toute déclaration des traitements auprès de la Commission Nationale de l'Informatique et des Libertés (C.N.I.L.). Le CLIENT déclare accepter pleinement toutes les obligations légales découlant de la propriété de ses services, XXXXXXX ne pouvant être recherchée ni inquiétée à cet égard pour quelque cause que ce soit, notamment en cas de violation par le client, de lois ou règlements applicables aux services vendus à celui-ci ;

- Le non-respect par le CLIENT des points visés ci-dessus et des points visés aux conditions particulières en Annexe aux présentes, et notamment toute activité susceptible d'engendrer une responsabilité civile et/ou pénale entraînera le droit pour HORANET de décâbler et/ou d'interrompre sans délai et sans mise en demeure préalable les services vendus au CLIENT et de résilier immédiatement et de plein droit le contrat, sans préjudice du droit à tous dommages et intérêts auxquels HORANET pourrait prétendre ;

- Le CLIENT s’engage à informer XXXXXXX dans les meilleurs délais de toute modification concernant sa situation, et dans les meilleurs délais de toute perte éventuelle des mots de passe. HORANET s’engage de même à informer le client.

1.7 Support Technique

Dans le cadre d’une prestation d’hébergement, la souscription d’un contrat d’assistance téléphonique est obligatoire.

1.8 Délai

Les prestations d’infogérance sont soumises aux mêmes délais que ceux appliqués à l’article 2 du contrat

d’assistance téléphonique.

ARTICLE 2 – CONDITIONS D’EXPLOITATION

Le CLIENT reconnaît par les présentes que les fluctuations de la bande passante et les aléas du fournisseur d'accès sont des éléments pouvant entraîner une discontinuité dans les prestations offertes par HORANET, et extérieurs à ses moyens techniques.

HORANET se réserve le droit de restreindre, limiter ou suspendre toutes les prestations en cours, à tout moment et sans préavis, en cas d’inexécution par le CLIENT de l’une de ses obligations essentielles prévues au présent Contrat et/ou à la demande expresse de toute autorité administrative ou judiciaire compétente, en cas d’atteinte réelle ou supposée à un droit quelconque, ou en cas de manquement grave du CLIENT à ses obligations telles que stipulées aux présentes.

HORANET pourra subordonner le rétablissement des prestations suspendues à la mise en œuvre effective par le CLIENT des mesures appropriées destinées à la garantir contre tout risque de perpétuation ou de réitération des faits à l’origine de la mesure.

ARTICLE 3 – INFORMATION DU CLIENT ET CONFORMITÉ DU SERVICE

Le CLIENT reconnaît avoir vérifié l'adéquation du matériel et du service à ses besoins et avoir reçu d’HORANET toutes les informations et conseils qui lui étaient nécessaires pour souscrire au présent engagement en connaissance de cause.

HORANET se réserve le droit de contrôler le respect des conditions d'utilisation du service.

ARTICLE 4 – PROPRIETE DES NOMS DE DOMAINE – USAGE

Tout hébergement utilisant un sous-domaine d’un domaine dont XXXXXXX est propriétaire, reste dans tous les cas la propriété d’HORANET. L’utilisation de ce sous-domaine et des certificats qui y seraient liés sont alors fournis par HORANET, le prix est alors compris dans le contrat d’hébergement global.

Tout autre nom de domaine enregistré par HORANET au nom du CLIENT est la propriété du CLIENT. Dans ce cas, XXXXXXX ne revendique aucun titre de propriété sur ces noms de domaine et fera le nécessaire pour que la facturation de ce nom de domaine et des certificats liés se fasse directement auprès du CLIENT.

ARTICLE 5 – CAS PARTICULIER DES APPLICATIONS FOURNIES PAR UNE ENTITÉ DU GROUPE HORANET

Dans le cas où le service consiste à héberger une application fournie par une entité du Groupe HORANET,

HORANET s’engage à effectuer des tâches d’infogérance applicatives supplémentaires :

❖ Sauvegardes régulières

❖ Réindexation/optimisations

❖ Nettoyage des historiques (*)

❖ Contrôle des volumes des fichiers

❖ Intégrité des données

❖ Supervision de l’application (*)

❖ Mise à jour des systèmes et des produits

❖ Mise à jour des anti-virus

(*) Diffère évidemment en fonction de la solution hébergée

ARTICLE 6 - DISPOSITIONS GÉNÉRALES

6.1 Redevance

Le montant de la redevance annuelle du contrat figure sur les différentes Annexes aux présentes.

6.2 Facturation

Les factures sont payables, terme à échoir.

Les factures sont établies au début de chaque année, la première facture est établie au prorata temporis.

Conformément au décret n° 2013-269 du 29 mars 2013, en cas de défaut de paiement à l'échéance prévue au contrat ou à l'expiration du délai de paiement, le créancier a droit, sans qu'il ait à les demander, au versement des intérêts moratoires et de l'indemnité forfaitaire pour frais de recouvrement d’un montant de 40 euros.

Le taux des intérêts moratoires est égal au taux d'intérêt appliqué par la Banque Centrale Européenne à ses opérations principales de refinancement les plus récentes, en vigueur au premier jour du semestre de l'année civile au cours duquel les intérêts moratoires ont commencé à courir, majoré de huit points de pourcentage.

A défaut de paiement d’une seule facture à son échéance, HORANET est, le cas échéant, fondée à suspendre ses prestations en cours, après mise en demeure restée infructueuse durant 10 jours ouvrés.

6.3. Révision des Prix et Redevances

Le montant de la redevance de la nouvelle période est calculé à partir du montant de la redevance de la période antérieure révisé par la formule suivante, sachant que les indices pris en compte sont ceux des mois de juillet et des deux années précédant la révision :

P = Prix révisé H.T.

P = Po (0.010 + )

Po = Dernier montant hors taxes revalorisé

S = Indice SYNTEC connu à la date de révision

S0 = Indice SYNTEC pris lors de la dernière revalorisation

Si l’indice venait à disparaître, le Président du Tribunal de Commerce de la Roche sur Yon (85) a compétence exclusive pour lui substituer un nouvel indice approprié.

6.4. Résiliation, Limitation et Suspension du Service

En cas de manquement par l’une des PARTIES aux obligations des présentes, non réparé dans un délai de trente jours à compter de la lettre recommandée avec accusé de réception notifiant les manquements par l’autre Partie, cette dernière peut faire valoir la résiliation du contrat, sans préjudice de tous les dommages et intérêts auxquels elle pourrait prétendre.

En cas de redressement judiciaire, liquidation, suspension provisoire des poursuites, faillite ou procédures similaires, le présent Contrat est résilié automatiquement sans notification, à compter de la décision du Tribunal compétent.

Dans le cas où le présent Contrat se trouverait résilié, il serait liquidé sur la base des prestations effectuées.

HORANET s'engage à effectuer, au minimum, trois rappels par courrier électronique avant l'expiration du service.

En tout état de cause, quelle que soit la cause de l’achèvement des relations entre HORANET et le CLIENT, HORANET sera tenue au minimum de délivrer sans frais au CLIENT une copie intégrale de la base de données hébergée. En fonction du produit, HORANET pourra proposer de délivrer au CLIENT un environnement d’exécution complet sous forme de machine virtuelle, comprenant la base de données et les logiciels nécessaires au bon fonctionnement du produit.

HORANET se réserve le droit d'interrompre le service vendu au CLIENT si ce service constitue un danger pour le maintien de la sécurité ou de la stabilité de la plate-forme d'hébergement d’HORANET. XXXXXXX informera préalablement le CLIENT dans les meilleurs délais.

En cas d’absolue nécessité, XXXXXXX se réserve la possibilité d'interrompre le service pour procéder à une intervention, afin d'améliorer son fonctionnement ou pour toute opération de maintenance.

Dans le cadre d'un contrat d'abonnement, le CLIENT peut résilier le contrat à tout moment sous réserve de l'envoi en courrier recommandé avec accusé de réception.

6.5. Réversibilité

En cas de cessation de la relation contractuelle, quelle qu’en soit la cause, XXXXXXX s’engage à restituer [ou éventuellement détruire, au choix du CLIENT], [gratuitement ou au tarif en vigueur au moment de la notification de réversibilité], à la première demande de celui-ci formulée par lettre recommandée avec accusé de réception et dans un délai de 30 jours à la date de réception de cette demande, l’ensemble des Données lui appartenant sous un format standard lisible sans difficulté dans un environnement équivalent. Le CLIENT collaborera activement avec HORANET afin de faciliter la récupération des Données.

HORANET n’a pas de contrainte particulière pour le transfert d’exploitation à un autre hébergeur désigné́ par le CLIENT et s’engage à̀ ne pas faire obstacle. HORANET garantit l’utilisation d’outils standards permettant d’assurer une migration aisée. XXXXXXX n'ayant pas vocation à̀ former les autres prestataires, il appartient au CLIENT de trouver un prestataire ayant les compétences suffisantes pour reprendre l'administration de la plate-forme.

Le déclenchement de cette phase n’implique, cependant, aucun changement dans l’exploitation de la plate- forme : HORANET assure toujours le même périmètre de service avec les mêmes engagements. Une première réunion est effectuée entre les équipes du client et celle HORANET afin de valider les éléments attendus par le CLIENT, évaluer les actions à venir et mettre en place un planning de réversibilité́.

6.6. Garantie

HORANET garantit au CLIENT que les prestations objet du présent contrat seront effectuées selon les règles de

l’art et l’état de la technique lors de chaque intervention.

6.7. Responsabilité

La responsabilité d’HORANET envers le CLIENT ne pourra être engagée que pour des faits établis qui lui seraient imputables sous réserve des exclusions ci-après.

La responsabilité d’HORANET ne pourra être engagée en cas de force majeure. Sont notamment considérés par les Parties, aux termes des présentes, comme des cas de force majeure, les défaillances du réseau de fourniture d’électricité ou de télécommunication, grèves, tempêtes, guerres, tremblements de terre, pertes de connectivité Internet dues aux opérateurs des réseaux internet, attaques de pirates informatiques, incendies, inondations et dégâts des eaux, virus informatiques, arrêts ou incidents de machines, explosions et plus généralement tout événement ou circonstance hors de contrôle raisonnable de la Partie concernée ou non occasionné par une faute ou ne négligence de cette Partie, ayant pour effet d’empêcher ou de retarder l’exécution par cette Partie des obligations stipulées au présent contrat.

Sauf faute lourde, la responsabilité d’HORANET ne pourra en outre être engagée du fait :

- de la contamination par virus des données et/ou logiciels du CLIENT, dont la protection incombe à ce dernier ;

- de la mauvaise programmation ou du mauvais paramétrage des applicatifs hors du champ de la prestation d’administration système, du maintien en fonction d’applicatifs, requêtes, contenus, nuisant au bon fonctionnement de l’architecture système, dont HORANET aura informé le CLIENT ;

- des conséquences de toutes défaillances dans les procédures de sécurité du Data center ;

- des intrusions malveillantes de tiers sur le(s) site(s) Internet du CLIENT et/ou dans les messageries électroniques du CLIENT malgré les mesures techniques raisonnables mises en place par XXXXXXX ;

- des conséquences du détournement éventuel des mots de passe, codes confidentiels, et plus généralement de toute information à caractère sensible pour le CLIENT (codes d’accès au serveur FTP, à la base de données du Site Internet, etc.) ;

- des préjudices immatériels directs et/ou indirects, consécutifs ou non à un dommage matériel et/ou corporel, tels que préjudice commercial, perte de commandes, manque à gagner, atteinte à l'image de marque, trouble commercial quelconque, perte de bénéfices ou de clients.

En tout état de cause, le montant des dommages-intérêts qui pourraient être mis à la charge d’HORANET est expressément limité aux sommes acquittées par le CLIENT au titre des prestations fournies dans le cadre du présent Contrat au cours du mois précédant le fait générateur du dommage, hors coûts correspondant à la fourniture de matériel.

6.8. Assurances

XXXXXXX est titulaire d’une police d’assurance qui couvre sa responsabilité civile contractuelle, pour tout dommage de quelque nature qu’il soit, matériel ou immatériel, consécutif ou non, qu’elle pourrait faire subir à ses CLIENTS.

La responsabilité d’HORANET ne peut être engagée du fait de ses collaborateurs que dans le cas d’actes accomplis par ceux-ci au titre de l’exécution du présent Contrat et dans le seul cas où une négligence pourrait être retenue contre XXXXXXX ou son personnel.

Aucune des Parties n’est autorisée à conclure un quelconque engagement pour le compte ou au nom de l’autre Partie.

6.9. Indépendance des PARTIES

Le présent Contrat exclut expressément tout affectio societatis, en conséquence chaque Partie est indépendante et agit uniquement en son nom et pour son compte.

6.10. Loi Applicable

Le présent Contrat est soumis à la loi française.

6.11. Litiges

Les Parties déclarent leur intention de chercher, dans une première étape, une solution amiable à toute difficulté

qui pourrait surgir à propos de l’application ou de l’interprétation du présent Contrat.

En cas de litige résultant de l'application des clauses du présent Contrat, le tribunal administratif compétent sera celui du domicile de la personne publique.

ARTICLE 7 – DONNÉES PERSONNELLES - RGPD

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

7.1. Description du traitement faisant l’objet de la sous traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) :

• Hébergement d’un service de vente en ligne de droits d’usage.

o Maintien en condition d’exploitation du service

o Supervision du fonctionnement du service en ligne

• Maintien en conditions opérationnelles des données liées à la vente en ligne

o Sauvegarde des données

o Monitoring de la base de données de la base de production

o Eventuellement, copie de base de données pour constituer une base de test ou recette fonctionnelle.

La nature des opérations réalisées sur les données est

- Sauvegardes régulières des données

- Réinjection éventuelle des données dans le cadre d’un Plan de Reprise d’Activité suite à un incident

majeur.

- Copie de base de données de Production pour constituer une base de recette fonctionnelle avec traitement de pacification des données personnelles de contact (téléphone, courriel)

La ou les finalité(s) du traitement sont

- Billetterie

- Gestion de Régie.

- Contrôle d’accès dans les sites piscines et complexes sportifs

- Gestion des activités et planning des sites

- Gestion des adhérents

- Production d’états statistiques.

Les données à caractère personnel traitées sont Pour les citoyens abonnés

- l’identité (civilité, nom, prénom),

- la date de naissance.

- l’adresse du domicile,

- l’adresse mail.

- le numéro de telephone.

- la photo pour les abonnés.

- les horaires de fréquentation sur les sites

Pour les clubs sportifs :

- le nom,

- prénom du responsable du club et le nom du club

Pour les utilisateurs du logiciel (le régisseur, les caissiers et les responsables de sites) :

- le nom,

- prénom,

- matricule,

- profil utilisateur dans le logiciel AQUAGLISS Les catégories de personnes concernées sont :

- Les citoyens, abonnés aux activités des piscines et complexes sportifs (fitness, aquagym, …)

- Les responsables de clubs sportifs qui fréquentent les piscines et complexes sportifs

- Les utilisateurs du logiciel AQUAGLISS, agents de la Direction des Sports de la Collectivité

Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous- traitant les informations nécessaires suivantes […].

7.2. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s'engage à :

1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

2. traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

• reçoivent la formation nécessaire en matière de protection des données à caractère personnel

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

6. Sous-traitance

Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de 48 heures à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

7. Droit d’information des personnes concernées

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations

de traitement au moment de la collecte des données.

8. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées: droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le

sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable de traitement.

9. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par le moyen défini par le responsable du traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Moyen de notification (à completer par le responsable du traitement à la signature du contrat) :

………………………………………………………………………………………………………………………………………………

10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la

protection des données.

Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité

de contrôle.

11. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

• L’anonymisation et le chiffrement (mots de passe) des données à caractère personnel

• les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.

• une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l'efficacité des mesures techniques et

organisationnelles pour assurer la sécurité du traitement]

Les mesures techniques et organisationnelles sont précisées dans l’Annexe 1.

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par le plan d’assurance sécurité

en pièce jointe (Annexe 2).

12. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à : Au choix des parties :

□ détruire toutes les données à caractère personnel ou

□ à renvoyer toutes les données à caractère personnel au responsable de traitement ou

□ à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information

du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

13. Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données

Référent HORANET à la protection des données : Xxxxxx XXXXXXXX – xxx@xxxxxxx.xxx

14. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées

pour le compte du responsable de traitement comprenant :

• le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous- traitants et, le cas échéant, du délégué à la protection des données.

• les catégories de traitements effectués pour le compte du responsable du traitement.

• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées;

• avoir mis en place les mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

o la anonymisation et le chiffrement des données à caractère personnel;

o des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

o des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

o une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

15. Documentation

Le sous-traitant tient à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

7.3. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

1. fournir au sous-traitant les données visées à l’article 7.1 du présent contrat.

2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant

3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant

4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant

7.4. Election de domicile

Les Parties font élection de domicile en leur siège social respectif. Fait à Fontenay le Comte, le 19 Avril 2024.

Cachet et signature précédés de la mention « lu et approuvé »

Pour Le CLIENT Pour HORANET

(Nom et qualité du signataire) (Nom et qualité du signataire)

ANNEXE 1 - SERVICE LEVEL AGREEMENT – HORANET GO

(SLA)

1.1 Disponibilité du réseau

Les plateformes Horanet GO sont exclusivement hébergées au sein de Datacenter Tiers III+ disposants au minimum des garanties suivantes :

• Double adduction fibre optique en BGP4

• GTR de 2h sur toute l’infrastructure Réseau et électrique

• Garantie de temps d’intervention de 2h

• Intervention 7j/7 et 24h/24

• Garantie de Taux de Disponibilité : 99,995%

• Supervision proactive

Cluster de Firewall de marque SOPHOS ACTIF/ACTIF Redondances des switch et cartes réseau serveurs

1.2 Haute disponibilité

• Tier 3+, le Datacenters nous garantit un fonctionnement au travers de trois voies électriques distinctes N+N+N (actif / passif /passif) secourus par des générateurs en N+N. La distribution de refroidissement est en N+N (actif / passif) et distribué en cold corridors au niveau des baies serveurs.

• Chaque serveur virtuel est répliqué au minimum 1 fois par jour surun serveur dédié au sein du même Datacenter. En cas de panne matériel, nous pouvons rapidement démarrer les services au sein d’un autre serveur.

1.3 Sauvegardes et reprise d’activités

• 13 sauvegardes complètes jusqu'à 12 mois : 1 / jour pendant 10 jours, 1 / mois pendant 12 mois

• Sauvegardes répliquées sur au moins 2 machines différentes dans différents centres de données localisés en Vendée.

• Les utilisateurs peuvent demander la mise à disposition des sauvegardes de leurs données à tout moment

• Pour un sinistre permanent ayant un impact sur un seul serveur, notre plan de récupération après sinistre dispose des paramètres suivants :

⮚ RPO (Recovery Point Objective) = 24 heures, c’est-à-dire qu'on peut perdre maximum 24 heures de travail

⮚ RTO (Recovery Time Objective) = 4 heures, c'est-à-dire que leservice sera de nouveau en ligne après 4 heures maximum

• Pour les sinistres de Datacenters (un centre de données complet est complètement et définitivement arrêté), le plan de reprise après sinistre dispose de ces mesures :

⮚ RPO (Recovery Point Objective) = 24h, c'est-à-dire que vouspouvez perdre un maximum de 24h de travail si les donnéesne peuvent pas être récupérées et que nous devons restaurerla dernière sauvegarde quotidienne

⮚ RTO (Recovery Time Objective) = 72h, c'est-à-dire que le service sera restauré à partir de la sauvegarde dans les 72 heures dans un centre de données différent. Ce temps n'inclut pas la durée de propagation des DNS qui est en dehors de notre responsabilité.

1.4 Sécurité

La sécurité de vos données est très importante pour nous. C’estpourquoi nous avons mis en place un ensemble de système et procédures pour garantir leurs sécurité, disponibilité et confidentialité.

• SSL : Toutes les connexions Web aux instances clientes sont protégées par un cryptage SSL 256 bits (HTTPS avec un certificatSSL de 2048 bits) et fonctionnent derrière des piles SSL de Grade

A. Toutes nos chaînes de certificats utilisent déjà SHA-2.

• Mots de passe : Les mots de passe des clients sont protégés par un cryptage standard PBKDF2 + SHA512 (salted + stretched par des milliers de boucles).

• Sécurité système : Nos serveurs exécutent une distribution Linuxrécente avec des correctifs de sécurité à jour, avec pare-feu et contre-mesures d'intrusion (non divulgués pour des raisons évidentes).

• Isolement : Données client stockées dans des bases de donnéesdédiées - Pas de partage de données entre clients, pas d'accèspossible d'une base de données à une autre.

• Les données clientes (Production et sauvegardes) sont stockéesuniquement dans les centres de données Horanet. Pas de sous-traitance.

• Les Firewalls fournissent des compteurs d’intrusions nous aidant à identifier les tentative accès non autorisé.

• L’ensemble des sites d’hébergement est sous vidéosurveillance.