TERMES ET CONDITIONS COMPLÉMENTAIRES POUR LES SERVICES HANA ENTERPRISE CLOUD ("SUPPLÉMENT")
TERMES ET CONDITIONS COMPLÉMENTAIRES POUR LES SERVICES HANA ENTERPRISE CLOUD ("SUPPLÉMENT")
1. Définitions.
Le terme "Contrat" désigne le Bon de commande et tous les documents intégrés par référence au Bon de commande, y compris le présent Supplément. À des fins de clarification, le Contrat n'inclut pas le Contrat de droit d'utilisation, à moins que ledit Contrat de droit d'utilisation soit expressément intégré par référence au Bon de commande.
Le terme "Jour ouvrable" désigne n'importe quel jour de lundi à vendredi exception faite des jours fériés observés sur le site du Client, tel que spécifié dans le Bon de commande correspondant.
Le terme "Heures ouvrables" désigne les heures de travail habituelles (de 8 h à 18 h, heure locale) sur le site du Client, les Jours ouvrables.
Le terme "Demande de modification" désigne toute modification apportée au Service HEC comme indiqué dans un document écrit signé par les parties et faisant référence au Bon de commande correspondant.
Le terme "Environnement informatique" désigne les installations de centre de données, les serveurs, les équipements de mise en réseau, les systèmes d'exploitation et les mécanismes de stockage de données fournis et utilisés par SAP pour la prestation du Service HEC pour le Client, et inclut l'Environnement informatique de développement (DEV), l'Environnement informatique de production (PRD) et l'Environnement informatique d'assurance qualité (QAS), tel que convenu dans le Bon de commande.
Le terme "Informations confidentielles" désigne, s'agissant du Client, les Données Client, les plans marketing et commerciaux et/ou les informations financières du Client, et s'agissant de SAP : (a) le Service HEC, notamment (i) tous les progiciels (les codes source et objet) et la documentation connexe ou les spécifications fournies par SAP ; (ii) les techniques, concepts, méthodes, processus et conceptions intégrés dans le service ou liés à celui-ci ; et (iii) toutes les interfaces de programmes d'application, la sécurité système et la conception de l'architecture système liées au service ; et
(b) la recherche et le développement, les offres, les prix et la disponibilité des produits SAP. Outre ce qui précède, les Informations confidentielles, qu'elles appartiennent à SAP ou au Client (la partie divulguant lesdites informations étant dénommée la "Partie divulgatrice"), peuvent également comprendre des informations protégées par la Partie divulgatrice contre la complète divulgation à des tiers (i) que la Partie divulgatrice ou ses représentants désignent comme confidentielles au moment de la divulgation ; ou (ii) devant être raisonnablement comprises comme confidentielles de par la nature desdites informations et des circonstances entourant leur divulgation ; notamment les informations relatives à des tiers et divulguées à l'autre partie dans le cadre du Contrat.
Le terme "Données Client" désigne tout contenu, support, donnée et information que le Client ou ses Utilisateurs Nommés entrent dans l'Environnement informatique.
Le terme "DEV (Environnement informatique de développement)" désigne la partie de l'Environnement informatique utilisée uniquement pour le développement et la mise à l'essai de nouveaux ajustements de personnalisation ou d'application.
Le terme "Documentation" a la signification qui lui est donnée dans le Contrat ; toutefois, il inclut également le document Rôles et responsabilités pour HANA Enterprise Cloud ("RR HEC"), dont le lien URL est fourni dans le Bon de commande applicable.
Le terme "Période d'indisponibilité" désigne le nombre total d'heures au cours de tout mois donné pendant lesquelles le Progiciel, le cas échéant, n'est pas en mesure de répondre à des demandes d'interaction de l'utilisateur final ou à des demandes inter-systèmes, à l'exclusion de toute période résultant des causes répertoriées dans l'article 5.1 ci-dessous.
Le terme "Service(s) HEC" désigne les services HANA Enterprise Cloud pour Production, HANA Enterprise Cloud pour Projets et HANA Enterprise Cloud pour Production avec Progiciel d'abonnement acquis par le Client en vertu d'un Bon de commande. Tout service non inclus dans le document RR HEC sera réputé non inclus dans l'étendue du service HEC. Les Services HEC seront entendus comme inclus dans la définition des "Services" et des "Services Cloud" tels qu'utilisés dans le Contrat.
Le terme "Progiciel hébergé" désigne les progiciels appartenant ou concédés sous licence au Client que ce dernier fournit à SAP en vue de leur hébergement dans le cadre du service HANA Enterprise Cloud pour Production ou HANA Enterprise Cloud pour Projets acquis par le Client en vertu d'un Bon de commande, notamment l'ensemble des applications SAP installées dans l'Environnement informatique et prises en charge par le Service HEC applicable, tout progiciel d'application, qu'il soit concédé sous licence par SAP ou fourni par un tiers (auquel cas SAP a donné son consentement écrit en vue de l'utilisation dudit progiciel tiers), ainsi que l'ensemble des progiciels de base de données requis pour exécuter les applications, à l'exclusion toutefois de tout Progiciel d'abonnement. Les applications, bases de données, progiciels, outils et composants pour lesquels le Client a acquis une licence auprès d'un tiers ne peuvent pas être hébergés par SAP dans le cadre du Service HEC sans le consentement écrit et préalable de SAP.
Le terme "Incidents" désigne les interruptions non planifiées ou les réductions substantielles de la qualité des services signalées par les Utilisateurs Nommés.
Le "Délai d'intervention pour incident" désigne le temps (en heures ou minutes) qui s'écoule entre le moment où l'organisation de niveau 1 du Support SAP est informée du signalement d'un Incident par le Client et celui où la première action est menée par un membre du Support SAP, connaissant l'environnement du Client, pour réparer l'Incident.
Le terme "LAN" désigne un réseau local qui est un réseau informatique logique couvrant une zone relativement restreinte.
Le terme "Contrat de droit d'utilisation" désigne le contrat conclu par SAP (ou une Société affiliée de SAP SE ou un revendeur autorisé du progiciel SAP) dans le cadre duquel le Client a obtenu les droits d'utilisation du progiciel SAP comprenant une partie ou la totalité du Progiciel hébergé.
Le terme "Bon de commande" désigne un document écrit signé par les parties contenant des conditions commerciales spécifiques pour l'achat du Service HEC.
Le terme "Point de délimitation" désigne le pare-feu/périphérique VPN de l'Environnement informatique.
Le terme "PRD (Environnement informatique de production)" désigne la partie de l'Environnement informatique utilisée exclusivement pour l'exécution de transactions commerciales de production.
Le terme "QAS (Environnement informatique d'assurance qualité)" désigne la partie de l'Environnement informatique principalement utilisée pour l'exécution d'exercices de formation et/ou la mise à l'essai de la configuration et du développement d'applications.
Le terme "Redevance récurrente de Services HEC" désigne le montant payable sur une base périodique dans le cadre du Bon de commande pour le Service HEC en vertu des présentes et comme décrit plus en détail dans l'article 6.
Le terme "Niveau(x) de service" désigne les engagements contractuels pris par SAP dans le Contrat, y compris les Niveaux de priorité et les Délais d'intervention pour incident de SAP.
Le terme "Crédit de niveau de service" désigne un crédit calculé comme décrit dans l'article 5 ci-dessous que le Client peut appliquer à la facture délivrée au Client par SAP pour le Service HEC dans le mois suivant la date à laquelle le Crédit de niveau de service est émis.
Le terme "Progiciel" désigne le Progiciel hébergé ainsi que le Progiciel d'abonnement.
Le terme "Progiciel d'abonnement" désigne le progiciel fourni et hébergé dans l'Environnement informatique par SAP dans le cadre du Service HANA Enterprise Cloud pour Production avec Progiciel d'abonnement sur la base d'un abonnement. Le Progiciel d'abonnement sera entendu comme inclus dans le Service HANA Enterprise Cloud pour Production avec Progiciel d'abonnement aux fins du Contrat.
Le terme "Disponibilité technique" désigne un pourcentage calculé en divisant le Temps de fonctionnement par le nombre total d'heures au cours du même mois. La Disponibilité technique du système SAP individuel (PRD, QAS ou DEV) dans l'Environnement informatique du Client est conforme à l'article 3 du Bon de commande.
Le terme "VPN" désigne un réseau privé virtuel qui est un réseau de données sécurisé utilisant Internet pour connecter entre eux des bureaux géographiquement éloignés.
Le terme "Date de résiliation" désigne la date d'effet de la résiliation applicable conformément aux conditions du Contrat.
Le terme "Temps de fonctionnement" désigne le nombre total d'heures dans un mois donné moins le total des Périodes d'indisponibilité pour le même mois.
2. Licences et maintenance de Progiciels.
2.1 HANA Enterprise Cloud pour Production et HANA Enterprise Cloud pour Projets.
Le présent article 2.1 s'applique uniquement aux services HANA Enterprise Cloud pour Production et HANA Enterprise Cloud pour Projets (et non au service HANA Enterprise Cloud pour Production avec Progiciel d'abonnement) :
a. Fourniture de licences : il incombe au Client de fournir tous les Progiciels hébergés, y compris les droits nécessaires requis pour l'exécution et l'hébergement du Progiciel hébergé par SAP. Le Client accorde à SAP le droit non exclusif d'utiliser le Progiciel hébergé à la seule fin que et uniquement dans la mesure nécessaire pour que SAP et ses sous- traitants fournissent le Service HEC et dans la mesure autrement établie dans le Bon de commande applicable. Le Client atteste par les présentes et garantit qu'il possède tous les droits, licences et autorisations nécessaires pour accorder les droits à SAP comme stipulé dans le présent article.
b. Maintenance : les Services HEC n'incluent pas la maintenance ou le support requis pour le Progiciel hébergé. En fournissant le Service HEC, SAP n'a aucune obligation ou responsabilité vis-à-vis du Progiciel hébergé, y compris concernant la concession de licence ou la maintenance, à moins que cela n'ait été expressément stipulé dans le Contrat.
c. Version du Progiciel hébergé actuellement prise en charge : le Client doit utiliser une version du Progiciel hébergé pour laquelle la maintenance progicielle et la maintenance utilisateur (la "Maintenance progicielle") sont en vigueur, telles que fournies par le fournisseur du progiciel conformément au contrat de droit d'utilisation pertinent avec ledit fournisseur.
Pour le Progiciel hébergé SAP, ladite maintenance est fournie conformément aux phases de maintenance en vigueur des versions des progiciels SAP et selon les conditions définies à l'adresse xxxxx://xxxxxxx.xxx.xxx/xxxxxxxxxxxxxxx. Il incombe au Client d'acquérir et de conserver ladite Maintenance progicielle pour le Progiciel hébergé pendant la durée du Service HEC. SAP recommande vivement au Client de suivre les meilleures pratiques relatives à la Gestion du cycle de vie des progiciels publiées par SAP Active Global Support ("AGS").
d. Modifications et configuration du Progiciel : Il est de la responsabilité du Client de résoudre les erreurs de code source, les problèmes de compatibilité ou autres conflits susceptibles de survenir après une modification autorisée en vertu du Contrat de droit d'utilisation et des patchs ou des solutions de contournement ou autres changements apportés par le concédant de licence du Progiciel. Le Client informera immédiatement SAP de toute modification ou autres changements apportés au Progiciel.
2.2 HANA Enterprise Cloud pour Production avec Progiciel d'abonnement
Le présent article 2.2 s'applique uniquement au service HANA Enterprise Cloud pour Production avec Progiciel d'abonnement :
a. Fourniture de licences : SAP s'engage à fournir pour les Services HEC le Progiciel d'abonnement pendant la durée d'abonnement et toute période de renouvellement applicable, tel que stipulé dans le Bon de commande. Le Client n'est pas autorisé à détenir une copie du Progiciel d'abonnement en vue d'une installation autre que dans l'Environnement informatique, ou à des fins d'archivage ou de restauration après sinistre, à moins qu'il n'en soit expressément prévu autrement dans le Bon de commande applicable des Services HEC. SAP n'a aucune obligation concernant la fourniture du Progiciel d'abonnement autre que l'installation et l'hébergement dans l'Environnement informatique.
b. Maintenance : le Service HEC inclut la Maintenance progicielle SAP, notamment la maintenance SAP Enterprise Support décrite à l'adresse xxxx://xxx.xxx.xxx/xxxxxxx/xxxxx/xxxxx.xxx et jointe au présent Supplément, pour le Progiciel d'abonnement stipulé dans le Bon de commande pendant la durée d'abonnement et toute période de renouvellement applicable, pour le Service HEC.
2.3 Services HEC : généralités
Le présent article 2.3 s'applique à tous les Services HEC. Dans la mesure où l'Environnement informatique fourni par SAP comprend des produits progiciels Microsoft (tel que spécifié dans l'article "Configuration du système" du Bon de commande), le Client doit se conformer aux conditions suivantes concernant lesdits produits progiciels Microsoft :
a. le Client ne doit pas supprimer, modifier ou masquer toute mention de copyright, de marque de fabrique et d'autres droits de propriété figurant sur les produits progiciels Microsoft ou qui apparaissent pendant leur utilisation ;
b. le Client ne doit pas reconstituer la logique, décompiler ou désassembler les produits progiciels Microsoft, sauf si et seulement si le droit applicable, nonobstant la présente restriction, autorise expressément une telle activité ;
c. toute garantie, responsabilité en dommages-intérêts et tout recours, le cas échéant, sont fournis uniquement par SAP et non par Microsoft ou ses sociétés affiliées ou filiales ;
d. toute maintenance produit pour les produits progiciels Microsoft inclus dans l'Environnement informatique est fournie au Client par SAP et non par Microsoft ou ses sociétés affiliées ou filiales ;
e. tout titre ou droit de propriété intellectuelle dans et des produits progiciels Microsoft restent la propriété de Microsoft ou de ses fournisseurs. Les produits progiciels Microsoft sont protégés par les lois sur le copyright et les traités internationaux sur le copyright, ainsi que d'autres lois et traités liés à la propriété intellectuelle. La possession des produits progiciels Microsoft, l'accès à ceux-ci ou leur utilisation par le Client ne confèrent aucun droit de propriété ou droit de propriété intellectuelle sur les produits progiciels Microsoft au Client ;
f. En cas d'audit, SAP peut révéler des informations du Client relatives à l'utilisation des produits progiciels Microsoft à Microsoft ou à des sociétés affiliées ou filiales de Microsoft ;
g. le Client reconnaît que les produits progiciels Microsoft ne sont pas insensibles aux défaillances et qu'ils ne sont pas garantis sans erreur ou sans défauts de fonctionnement. En aucun cas le Client ne devra utiliser les produits progiciels Microsoft dans une application ou une situation où la défaillance desdits produits pourrait conduire au décès d'une personne ou à des blessures corporelles graves sur toute personne, ou à des dommages physiques ou écologiques de grande envergure (l'"Utilisation à haut risque"). Exemples d'Utilisation à haut risque : transports aériens ou autres modes de transport en commun, contrôle d'installations chimiques et nucléaires, systèmes d'assistance médicale, équipements médicaux implantables, véhicules motorisés ou systèmes d'armement. L'Utilisation à haut risque ne concerne pas les produits progiciels Microsoft destinés à l'administration, au stockage de données de configuration, aux outils d'ingénierie et/ou de configuration ou aux autres applications n'exerçant aucun contrôle, leur défaillance ne conduisant pas au décès, à des dommages corporels ou des dommages physiques ou écologiques sévères.
3. Responsabilités et obligations du Client eu égard aux Services HEC
3.1 Le Client est et sera tenu pour responsable de la saisie de ses Données Client dans l'Environnement informatique, ainsi que de la maintenance des Données Client fournies par l'Environnement informatique. Le Client atteste par les présentes et a déployé des efforts commercialement raisonnables pour garantir que les Données Client et le Progiciel hébergé ne
contiennent aucun virus, cheval de Troie ou élément comparable susceptibles de nuire aux systèmes informatiques ou aux progiciels utilisés par SAP ou ses sous-traitants pour fournir le Service HEC. Le Client reconnaît qu'il a collecté et qu'il doit gérer et traiter toutes les Données Client conformément à toutes les lois en vigueur, notamment les lois, règles et réglementations concernant la confidentialité et la protection des données ainsi que la conformité relative aux importations/exportations.
3.2 Le Client est tenu de modifier l'ensemble des mots de passe utilisés pour accéder au Service HEC à intervalles réguliers, au moins une fois tous xxx xxx (6) mois. Si le Client apprend qu'un tiers non autorisé a eu connaissance d'un mot de passe, il devra en informer SAP dans les plus brefs délais et modifier immédiatement le mot de passe.
3.3 Le Client est responsable de la connexion au Service HEC, y compris de la connexion Internet au Point de délimitation. En aucun cas la responsabilité de SAP concernant les services ne s'étend au-delà du Point de délimitation.
3.4 SAP fournira le Service HEC à condition que le Client s'acquitte de ses responsabilités décrites aux RR HEC. Le Client s'engage à s'acquitter rapidement desdites responsabilités et à fournir les employés et ressources requis pour les phases du projet en quantité suffisante. Dans le cadre du Service HEC, SAP installera le Progiciel hébergé dans l'Environnement informatique, configurera des agents de surveillance de matériel et de progiciels adéquats pour l'Environnement informatique et le Progiciel hébergé et présentera au Client les procédures de maintenance et de communication de SAP. Le Client s'engage à fournir ce qui suit :
Interlocuteur principal pour traiter avec SAP (chef de projet HEC), responsable de la coordination de toutes les activités. Le chef de projet HEC doit avoir l'autorité et le pouvoir requis pour prendre des décisions à l'égard de toute mesure prise par le Client en vertu du Contrat.
Liste des contacts clés du Client (incluant le rôle, poste, numéros de téléphone fixe, portable, adresse e-mail, etc.)
Procédures et politique du Client concernant l'autorisation d'accès à l'Environnement informatique. Le Client s'engage à informer SAP de toute modification desdites procédures et politique le plus tôt possible.
ID de superutilisateur ("S-user") dans l'Environnement informatique avec les autorisations définies ci-dessous. Ledit ID S-user, (initialement) affecté au Client par SAP conformément au Contrat de droit d'utilisation et utilisé par le Client pour se connecter à SAP Service Marketplace à des fins de téléchargement et de maintenance des progiciels, est requis par les ressources HEC de SAP afin qu'elles puissent également se connecter et exécuter les tâches de téléchargement de progiciels nécessaires à l'obtention du progiciel en vue de la configuration de l'Environnement informatique. Les autorisations requises incluent les points suivants :
o Envoi et/ou création et/ou confirmation et/ou réouverture des messages Client
o Enregistrement des clés de SAP Software Change Registration
o Traitement des messages du service
o Ouverture des connexions au service
o Téléchargement de progiciel
o Maintenance de données système
o Demande de clés de licence
Le Client autorise expressément SAP par les présentes à configurer et à utiliser un S-user disposant desdites autorisations. Le Client veillera à ce que toute autorisation pouvant être requise pour des tiers ou pour ses employés sera fournie rapidement.
3.5 Le Client est responsable de la gestion de ses systèmes informatiques ainsi que de l'accès auxdits systèmes informatiques depuis le Point de délimitation du Client. SAP et le Client sont en outre soumis aux termes et conditions de l'Annexe SAP relative au traitement des données personnelles sur mandat qui permet à SAP de remplir ses obligations en vertu du Contrat eu égard aux informations personnelles des salariés du Client et autres tierces parties d'affaires hébergées dans l'Environnement informatique, et intégrée au présent Supplément.
3.6 Si des équipements SAP sont requis sur l'installation du Client, le Client doit fournir un environnement physiquement sécurisé et conditionné pour lesdits équipements fournis au Client par SAP et le Client sera entièrement responsable des risques de préjudices. SAP ne sera pas tenu responsable des dommages dans la mesure où ils résultent du manquement du Client à fournir un environnement physiquement sécurisé et conditionné.
3.7 Le Client est et demeure le seul responsable de la définition, de la documentation et de l'exécution de ses processus métier, notamment la configuration de la gestion des systèmes et les politiques relatives à la sécurité des applications et des données, les exigences de traitement par lots et la conformité avec les autres exigences gouvernementales ou règlementaires. Le Client est tenu de fournir en toute circonstance à SAP la documentation pertinente et nécessaire sur ses processus concernés afin que SAP exécute ses responsabilités de Services HEC dans le cadre du Contrat. Il incombe exclusivement au Client de déterminer si les Services HEC sont adaptés à son activité et de respecter toute règlementation, loi ou convention applicable aux Données Client et à l'utilisation des Services HEC par le Client.
3.8 Si le Client choisit de faire effectuer des services par un tiers, SAP ne saurait être tenu responsable de tout défaut ou défaillance du Service HEC ou de l'Environnement informatique causé(e) par les services dudit tiers, et le Client ne peut prétendre à toute réduction quelle qu'elle soit sur les redevances dues pour le Service HEC. SAP est en droit de refuser
l'accès au Service HEC et/ou à l'Environnement informatique à tout prestataire de service tiers lorsque SAP considère, à sa seule et raisonnable discrétion, qu'il présente un risque de sécurité ou de confidentialité pour les systèmes, les données ou la propriété intellectuelle de SAP.
3.9 Le Client accepte de se conformer à la Politique d'utilisation acceptable de SAP, dont une copie est jointe et intégrée au présent Supplément, concernant son utilisation des Services HEC pour toute la durée du Contrat.
3.10 Sites de référence : Pendant la Durée du Contrat, le Client fera son possible pour recevoir jusqu'à quatre (4) heures par mois d'appels de référence. De tels appels de référence seront effectués après obtention de l'accord du Client et coordonnés par le gestionnaire de compte SAP applicable.
4. Données Client
4.1. SAP reconnaît que les Données Client et tous les droits de quelque nature que ce soit intégrés aux et/ou en relation avec lesdites Données Client sont et resteront à tout moment la propriété exclusive du Client, sous réserve uniquement des droits limités expressément accordés dans le Contrat. Le Client accorde à SAP le droit non exclusif d'utiliser les Données Client à la seule fin de permettre à SAP de fournir les Services HEC et uniquement dans la mesure nécessaire, sauf indication contraire dans le présent Supplément ou le Bon de commande.
4.2. SAP est tenu (i) de ne pas supprimer ni effacer les avis de propriété ou autres avis contenus dans ou liés aux Données Client ; (ii) de ne pas altérer, stocker, copier, divulguer ou utiliser les Données Client, sauf si nécessaire pour que SAP réalise ses obligations en vertu du présent Contrat ou tel qu'autorisé expressément par le présent Contrat conformément aux dispositions du présent Contrat ; (iii) de prendre des mesures raisonnables afin d'empêcher toute perte, corruption, divulgation, vol, manipulation ou interception des Données Client ; et (iv) d'informer le Client dès que raisonnablement possible de la découverte de la perte, vol, interception, ou corruption, endommagement ou suppression des Données Client.
4.3. Si des Données Client sont détenues ou traitées par SAP ou tout sous-traitant, SAP s'engage à, ou (le cas échéant), veille à ce que ses sous-traitants s'engagent à, fournir lesdites Données Client au Client à la demande périodique du Client dans un format raisonnable spécifié par le Client ou à les effacer à la demande du Client via une Demande de modification. Le Client est à tout moment autorisé à extraire et/ou supprimer les Données Client hébergées par ou pour le compte de SAP dans le cadre du présent Contrat.
4.4. Le Client veillera à ce que les Données Client saisies dans l'Environnement informatique par le Client, une Société affiliée du Client, des Utilisateurs Nommés ou d'autres personnes autorisées par le Client à accéder aux Données Client ou par toute personne utilisant les informations d'accès précédentes (i) ne sont pas corrompues ; ou (ii) ne sont pas des données techniques dont l'accès est restreint, en vertu du droit applicable, pour des raisons de sécurité nationale.
5. Niveaux de service
5.1 Disponibilité technique
Le tableau suivant répertorie la Disponibilité technique (DT) applicable à l'Environnement informatique du Client. SAP doit suivre et signaler au Client la "Disponibilité technique" dans un rapport récapitulatif mensuel. Le Client doit informer SAP de toute réclamation pour tout Crédit de niveau de service sous quarante-cinq (45) jours après réception du rapport mensuel de Disponibilité technique.
Segment de l'Environnement informatique | Niveau de service | Violation | Mesure corrective |
PRD | 99,5 % | DT < Niveau de service | Rapport d'incident et plan d'action de SAP soumis au Client sous 10 Jours ouvrables. Chaque Disponibilité technique inférieure de 0,1 % au Niveau de service convenu pour chaque système PRD entraînera un Crédit de niveau de service de 2 % par rapport au total de la Redevance récurrente de Services HEC pour le mois au cours duquel le Niveau de service n'aura pas été satisfait pour le Nom du système/Numéro du niveau identifié dans le Tableau de configuration de système du Bon de commande. |
DEV/QAS | 95 % | DT < Niveau de service | Rapport d'incident et plan d'action de SAP soumis au Client sous 10 Jours ouvrables. Chaque Disponibilité technique inférieure de 0,1 % au Niveau de service convenu pour chaque système DEV/QAS entraînera un Crédit de niveau de service de 1 % par rapport au total de la Redevance récurrente de Services HEC pour le mois au cours duquel le Niveau de service n'aura pas été satisfait pour le Nom du système/Numéro du niveau identifié dans le Tableau de configuration de système du Bon de commande. |
À des fins de calcul de la Disponibilité technique, toute incapacité du Progiciel ou de l'Environnement informatique à répondre à des demandes d'interaction des Utilisateurs Nommés ou à des demandes inter-systèmes, dans la mesure où elle est causée par une des raisons suivantes, sera exclue des Périodes d'indisponibilité :
(i) maintenance programmée ou période d'indisponibilité non planifiée, convenue avec le Client ;
(ii) non-exécution par le Client de ses responsabilités énoncées dans le Contrat ; ou
(iii) période d'indisponibilité d'un système QAS occasionnée lors de l'utilisation du QAS pour effectuer des basculements/réparations sur un système PRD ;
(iv) mauvaise utilisation des droits d'accès par le Client ou utilisation du Progiciel en violation du Contrat de droit d'utilisation ou du Contrat, selon le cas, ou de toute autre manière non conforme à la Documentation ;
(v) non-exécution par le Client de la Maintenance progicielle pour le Progiciel hébergé conformément à l'article 2.1 ci-dessous ;
(vi) tout autre problème raisonnablement indépendant de la volonté de SAP, y compris :
(a) travaux à la demande du Client requérant l'arrêt de l'Environnement informatique ou d'une partie de ce dernier (tels qu'une mise à niveau de version) ;
(b) temps de restauration de données utilisateur (récupération de données de base de données à partir d'un support de sauvegarde) ;
(c) temps de récupération (importation de journaux de transaction de base de données pour récupérer un statut de base de données actuel) ;
(d) interruptions dues à des exigences stipulées par les fabricants du Progiciel hébergé ;
(e) interruptions ou arrêts de l'Environnement informatique (ou d'une partie de ce dernier) résultant de la qualité du Progiciel hébergé fourni par le Client et/ou de personnalisations du Progiciel hébergé ou de l'Environnement informatique effectuées par le Client, sauf si la responsabilité incombe à SAP ;
(f) dysfonctionnement du réseau du Client (par exemple : pare-feu LAN) ou défaillances causé(e)s par des problèmes en dehors du Point de délimitation ;
(g) pannes de courant ou coupures du système d'alimentation sur les sites du Client ;
5.2 Niveaux de service
Les jours/heures au cours desquel(le)s SAP fournit les Services HEC sont stipulés dans le Bon de commande applicable.
Description | Segment de l'Environnement informatique auquel le Niveau de service s'applique | Niveaux de service |
Fréquence de sauvegarde et période de conservation des Bases de données | PRD | Sauvegarde et génération de fichier journal quotidiennes par standard de produit SAP. Période de conservation de 1 mois. La sauvegarde de l'environnement de production sera répliquée dans un autre centre de données. |
DEV/QAS | Sauvegarde et génération de fichier journal hebdomadaires par standard de produit SAP. Période de conservation de 14 jours. La sauvegarde de l'environnement non productif sera répliquée dans un autre centre de données. | |
Fréquence de sauvegarde et période de conservation des Systèmes de fichier. | PRD | Sauvegarde complète mensuelle et sauvegarde quotidienne incrémentale. Période de conservation de 1 mois. La sauvegarde de l'environnement de production sera répliquée dans un autre centre de données. |
DEV/QAS | Sauvegarde complète mensuelle et sauvegarde quotidienne incrémentale. Période de conservation de 1 mois. La sauvegarde de l'environnement non productif sera répliquée dans un autre centre de |
données. | ||
Temps de réponse initial en matière de Gestion des incidents | Priorité d'incident très élevée (s'applique uniquement aux systèmes PRD) | 20 minutes (7 jours/7, 24 h/24) et plan d'action pour la détermination des problèmes dans un délai de 4 heures. |
Priorité d'incident élevée | 2 heures (7 jours/7,24 h/24) pour SAP HANA Enterprise Cloud pour Production 4 heures [heure locale lors des Jours ouvrables] pour SAP HANA Enterprise Cloud pour Projets | |
Priorité d'incident moyenne | 4 heures [heure locale les Jours ouvrables] | |
Priorité d'incident faible | 1 Jour ouvrable |
5.3 Priorités des Incidents
Les niveaux de priorité suivants s'appliquent à tous les Incidents (ladite priorité doit être affectée par le Client, laquelle peut être réaffectée par SAP selon les critères définis ci-dessous et agissant de manière raisonnable) :
Très élevée : Un message doit être classé avec la priorité "Très élevée" si l'incident signalé a des conséquences très graves sur les transactions commerciales normales et le cas échéant, si les tâches nécessaires ne peuvent pas être exécutées. En général, la cause se révèle être un arrêt complet de l'Environnement informatique ou une indisponibilité complète d'un des systèmes informatiques dans le PRD. Le message requiert une intervention immédiate, le dysfonctionnement pouvant provoquer des pertes graves. Un rapport d'incident avec une priorité très élevée entraîne dans la plupart des cas la création d'un Message système et/ou le responsable en fonction (gestionnaire escalades) en sera informé.
Élevée : Un message doit être classé avec la priorité "élevée" si les transactions commerciales normales sont gravement affectées et que les tâches nécessaires ne peuvent pas être exécutées. Lesdits incidents sont causés par un dysfonctionnement ou une défaillance des fonctions du système PRD ou DEV ou QAS nécessaires immédiatement. Le message doit être traité le plus rapidement possible : si le dysfonctionnement persiste, l'ensemble des transactions commerciales productives peuvent être gravement affectées.
Moyenne : Un message doit être classé avec la priorité "moyenne" si les transactions commerciales normales sont affectées. Le problème est dû à un dysfonctionnement ou à une défaillance d'une fonction du système PRD ou DEV ou QAS.
Faible : Un message doit être classé avec la priorité "faible" si le problème signalé a peu ou pas d'effet sur les transactions commerciales normales. Le problème est dû à un dysfonctionnement ou à une défaillance d'une fonction du système PRD ou DEV ou QAS qui n'est pas requise au quotidien ou n'est utilisée que très rarement ou peu critique pour les activités.
5.4 Signalement des Niveaux de service
Si un ou plusieurs Niveaux de service du Contrat ne sont pas respectés, la procédure suivante sera mise en œuvre par les parties :
a) SAP s'adressera à l'interlocuteur du Client ou le Client s'adressera au gestionnaire de compte SAP pour analyser les statistiques métriques des Niveaux de service.
b) Dans les plus brefs délais, SAP (i) déterminera la cause profonde ou la cause profonde possible du manquement (s'il est connu) au Niveau de service, et (ii) à moins que le manquement soit non engagé, développera un plan d'action corrective et enverra ledit plan au Client pour approbation écrite (ne devant pas être retenue ou retardée de manière déraisonnable) et, suite à l'approbation écrite du Client, mettra en œuvre le plan dans un délai raisonnable (et conformément aux périodes convenues).
c) Le cas échéant, SAP fournira les Crédits de niveau de service spécifiques décrits à l'article 5.5 ci-dessous.
d) La société SAP sera dispensée de ses obligations de payer les Crédits de niveau de service applicables et ne violera pas le Niveau de service si l'analyse de la cause profonde (réalisée de manière raisonnable par SAP) indique que la non-atteinte du Niveau de service est causée par le Client. Si le Client n'est pas d'accord avec l'analyse de la cause profonde, les parties discuteront de ladite analyse de la cause profonde conformément à l'article 8 du présent Supplément concernant la procédure d’escalade.
5.5 Crédits de niveau de service
Sous réserve de l'article 5.1, si SAP ne satisfait pas à un Niveau de service, SAP sera tenu d'accorder au Client le Crédit de niveau de service correspondant tel que stipulé dans le présent article. Le Crédit de niveau de service est calculé comme étant la somme des Crédits de niveau de service pour DEV/QAS et PRD pour le Niveau de service de Disponibilité technique défini dans l'article 5.1 ci-dessus. SAP déduira le montant de tous les Crédits de niveau de service dus du Client
de la facture suivante (ou, en l'absence d'une telle facture, par transfert bancaire sur le compte bancaire tel que spécifié par écrit par le Client).
Le Client accepte qu'en aucun cas le montant total des Crédits de niveau service ne dépasse : (i) au niveau mensuel, 100 % de la Redevance récurrente de Services HEC au cours du mois en question, et, (ii) dans le cadre d'une année contractuelle donnée, un montant cumulé égal à un tiers de la Redevance récurrente de Services HEC annuelle facturée pour l'année contractuelle (ou un tiers de la Redevance récurrente de Services HEC totale facturée si la Durée telle que définie dans le Bon de commande applicable est inférieure à un (1) an).Le Client reconnaît que les Crédits de niveau de service définis en vertu des présentes sont le seul recours en cas de non-respect par SAP de ses obligations relatives au Niveau de service spécifié.
5.6 Résiliation pour manquement à un Niveau de service
Le Client peut résilier le Bon de commande applicable moyennant un préavis écrit de trente (30) jours envoyé à SAP, si SAP manque à un Niveau de service tel que spécifié dans le présent Supplément pendant 3 mois consécutifs. Le Client peut faire valoir son droit de résiliation uniquement dans les trente (30) jours après réception du rapport sur les Niveaux de service faisant état du manquement à un Niveau de service applicable.
5.7 Modification des Niveaux de service
SAP peut, à sa seule discrétion, modifier les conditions régissant les Niveaux de service énoncées dans les articles 5.1 à 5.5 ci-dessus moyennant un préavis envoyé au Client, à condition que SAP ne diminue pas considérablement les Niveaux de service, les Crédits de niveau de service ou toute autre disposition relative aux Niveaux de service pendant la Durée du Bon de commande.
6. Sécurité SAP pour les Services HEC
6.1 Cadre de sécurité HEC
SAP s'engage à respecter le cadre de sécurité HEC de SAP, intégré aux présentes et joint au présent Supplément, ou tout équivalent, pendant la durée du Bon de commande liant le Client et SAP dans le cadre des Services HEC, étant entendu que SAP se réserve le droit de réviser et/ou mettre à jour le cadre de sécurité HEC à sa seule discrétion, dans la mesure où il ne diminue pas le niveau de sécurité général fourni.
6.2 Audits de sécurité HEC
Pendant la durée du Bon de commande liant le Client à SAP dans le cadre des Services HEC, SAP doit gérer, à ses frais, un rapport d'audit élaboré par une société d'audit externe nationale agréée conforme aux rapports Service Organization Control (SOC) Reports de l'American Institute of Certified Public Accountants, ou tout équivalent, et s'engage à fournir ou mettre à disposition du Client, à la demande de ce dernier, une copie de chaque rapport SOC 1 (uniquement pour les systèmes PRD de l'Environnement informatique) ou SOC 2, qui seront mis à jour au moins une fois par an.
7. Surveillance.
SAP a le droit et restera en droit de surveiller l'utilisation des Services HEC par le Client afin de garantir la conformité du Client avec le présent Contrat et, sous réserve des autres clauses de confidentialité énoncées dans le Contrat, SAP peut utiliser les informations concernant l'utilisation du Service HEC faite par le Client pour améliorer les produits et services SAP et fournir au Client des rapports sur son utilisation du Service HEC.
8. Règlement de litige.
Chacune des parties nommera un représentant qui sera l'interlocuteur principal de la partie au titre de la prestation des Services HEC. En outre, chacune des parties nommera un représentant qui servira d'autorité pour la prise de décision en cas de litige ou escalade ne pouvant être réglé entre les interlocuteurs principaux dans un délai raisonnable.
SERVICES FACULTATIFS
Les services facultatifs suivants NE sont PAS inclus dans les Services HEC, et NE seront PAS fournis par SAP, sauf si le Client les acquiert moyennant une redevance et comme stipulé expressément dans un Bon de commande ou une Demande de modification applicable.
A. Facultatif : Services de transition.
Le Client peut choisir d'acquérir les Services de transition suivants auprès de SAP au moyen d'une Demande de modification et via le règlement des redevances applicables au tarif alors en vigueur de SAP, tel qu'indiqué dans ladite Demande de modification : (a) services de transition des Services HEC vers des services de remplacement fournis par le Client ou un tiers choisi par le Client, et (b) Données Client au format du support de sauvegarde utilisé par SAP ou tout autre format convenu d'un commun accord. SAP fournira lesdits Services de transition acquis par le Client à l'expiration des Services HEC.
B. Facultatif : Services de restauration après sinistre Définitions :
Le terme "Sinistre" désigne un événement conséquent causant une interruption considérable de la prestation des Services HEC et peut inclure des dommages physiques ou la destruction du centre de données SAP ou de l'Environnement informatique. Le terme englobe les sinistres naturels (tels que les inondations, ouragans, tornades ou tremblements de terre) et/ou les sinistres causés par l'homme (y compris le renversement d'articles dangereux, la défaillance de l'infrastructure et le bioterrorisme). Un Sinistre ne concerne généralement pas qu'un seul système ou environnement, mais englobe une plus grande partie de l'infrastructure.
Le terme "Services de restauration après sinistre" désigne le processus, les politiques et les procédures des services de restauration après sinistre liés à la préparation de la restauration ou de la poursuite de la technologie ou de l'infrastructure identifiés dans le Bon de commande applicable tel qu'inclus dans les Services de restauration après sinistre. La Restauration après sinistre n'est pas un processus visant à résoudre les pannes des systèmes isolés causées par des incidents de progiciels ou de matériels (autrement dit, la Restauration après sinistre n'est pas un substitut ou un remplacement pour les Niveaux de service de Disponibilité technique décrits dans le présent Supplément).
Le terme "Restauration après sinistre Métropole" désigne un Service de restauration après sinistre dans le cadre duquel SAP fournit des Services de restauration après sinistre (au moyen de systèmes de basculement) depuis un centre de données situé à moins de 100 km du centre de données standard, ce qui implique des coûts moins élevés et un Objectif de point de récupération moins long, mais également des risques accrus en termes de sinistre local affectant les deux centres de données.
Le terme "Restauration après sinistre Région" désigne un Service de restauration après sinistre dans le cadre duquel SAP fournit des Services de restauration après sinistre (au moyen de systèmes de basculement) depuis un centre de données situé à plus de 100 km du centre de données standard, ce qui réduit les risques en termes de sinistre local affectant les deux centres de données.
Le terme "Objectif de point de récupération" désigne la période tolérable maximum durant laquelle les données du Client peuvent être perdues en raison d'un Sinistre (c'est-à-dire la période entre la dernière sauvegarde et le moment où se produit le Sinistre).
Le terme "Objectif de temps de récupération" désigne la durée durant laquelle le Progiciel et le PRD sont indisponibles, empêchant la réalisation des Services HEC en cas de Sinistre (c'est-à-dire le temps qui s'écoule entre un Sinistre et le moment où les systèmes sont à nouveau disponibles).
SAP fournit des Services de restauration après sinistre standard avec des paramètres d'Objectif de point de récupération et de temps de récupération prédéfinis pour les caractéristiques système définies, à condition toutefois que les conditions requises soient remplies. SAP est dispensé d'exécuter ses obligations dans le cadre des Services de restauration après sinistre dans la mesure où (et pendant la durée au cours de laquelle) le Client ne remplit pas une ou plusieurs des conditions requises suivantes et qu'un tel manquement entrave SAP dans l'exécution des Services de restauration après sinistre :
Les composants applicables sont techniquement utilisés tels que fournis par SAP ; les développements ou modifications personnalisé(e)s ou tier(ce)s affectant les composants applicables ne sont pas couverts (à l'exception des développements/modifications effectué(e)s au niveau des systèmes ABAP uniquement à l'aide d'outils de développement standard SAP ABAP, ainsi que des produits tiers intégrés aux progiciels SAP).
Les systèmes applicables respectent les limites de taille et de mise en forme énoncées dans le Contrat.
Les interfaces de l'étendue de la restauration après sinistre sont limitées aux interfaces/protocoles pris(es) en charge par les systèmes SAP prêts à l'emploi (par exemple, RFC, appels de service Web, fichiers plats, XML et IDocs) dans le cadre des composants du centre de données. Toute interface requérant des solutions ou composants supplémentaires dans l'environnement HEC, ainsi qu'une connectivité externe, est considérée comme exclue de l'étendue de la restauration après sinistre standard.
Tous les référentiels contenant des Données Client devant être répliquées sur le site de Restauration après sinistre sont des bases de données ; si ce n'est pas le cas, les délais de l'Objectif de point de récupération peuvent être considérablement plus longs, ce qui ne relève pas de la définition standard des Services de restauration après sinistre.
Les paramètres pertinents dépendent de la mise en forme choisie en matière de Restauration après sinistre (Restauration après sinistre Métropole ou Région), ainsi que de la plateforme de base de données utilisée et du respect des conditions relatives aux Services de restauration après sinistre énoncées ci-avant. Les paramètres prédéfinis pour les Services de restauration après sinistre standard sont les suivants :
Restauration après sinistre Métropole | Restauration après sinistre Région | |
Base de données : SAP HANA | Objectif de temps de récupération=12 heures ; Objectif de point de récupération=0 heure | Objectif de temps de récupération=12 heures ; Objectif de point de récupération=30 minutes |
Base de données : Sybase ASE | Objectif de temps de récupération=12 heures ; Objectif de point de récupération=30 minutes** | Objectif de temps de récupération=12 heures ; Objectif de point de récupération=30 minutes |
**La réplication de base de données Sybase ASE n'est pas prise en charge en mode continu pour le moment, une condition préalable pour un Objectif de point de récupération de 0 heure. Si une telle fonction vient à être disponible et que les systèmes respectifs sont mis à jour vers la nouvelle version et que l'essai est concluant, les parties conviendront alors d'un Objectif de point de récupération modifié de 0 heure au moyen d'une Demande de modification, sans frais de service supplémentaire.
Le Client comprend et accepte que les caractéristiques de performance peuvent être réduites lors de l'exploitation dans le cadre d'un basculement des Services de restauration après sinistre, dans la seule mesure où ladite réduction de performance fait suite à un Sinistre considéré comme un événement de force majeure.
Tout autre Service de restauration après sinistre applicable aux Services HEC autres que ceux énoncés dans les RR HEC est exclu de l'étendue des Services de restauration après sinistre standard de SAP. À la demande du Client, les Services de restauration après sinistre supplémentaires (les "Services de restauration après sinistre supplémentaires") seront soumis à une évaluation approfondie basée sur l'architecture et les exigences du Client. Les détails concernant la mise en œuvre desdits Services de restauration après sinistre supplémentaires devront être convenus avec le Client, notamment pour les temps de basculement estimés et la perte de données maximum modifiés, et les parties conviendront mutuellement, au moyen d'une Demande de modification, des Objectifs de point de récupération et de temps de récupération applicables pour lesdits Services de restauration après sinistre supplémentaires suite à la mise en œuvre. Dans le cadre du processus susmentionné, SAP déploiera des efforts raisonnables pour fournir, aux fins de la Configuration du système, des Objectifs de point de récupération et de temps de récupération proches de ceux des packages définis dans le Bon de commande.
Tests de Restauration après sinistre réguliers
SAP offre, dans le cadre des Services de restauration après sinistre, un test de basculement de Restauration après sinistre annuel afin de tester leur fiabilité. SAP s'engage à réexécuter rapidement tout test de Restauration après sinistre qui n'aurait pas réussi à atteindre les standards applicables et à informer le Client de tout échec. Pour la préparation des Services de restauration après sinistre, le Client devra réaliser l'ensemble de la préparation de l'infrastructure et de la gestion conformément aux RR HEC et à l'accord supplémentaire conclu par les parties dans le cadre d'une Demande de modification. Le Client comprend et accepte que les objectifs de continuité d'activités du Client puissent requérir des efforts supplémentaires de sa part, en sus de l'étendue des Services HEC et/ou des Services de restauration après sinistre.
Politique d'utilisation acceptable
Le Client reconnaît et convient expressément que (1) ni SAP ni ses sous-traitants ne sauraient être tenus responsables de tous les fichiers, travaux, toutes les pages, données, informations et/ou tous les supports sur, dans, stockés, affichés, liés, distribués ou transmis à, depuis ou par le Client ou ses Sociétés affiliées (le "Contenu Client") et (2) ni SAP ni ses sous- traitants n'exercent de supervision ou contrôle direct sur le Contenu Client stocké, affiché ou transmis sur le Réseau. Le terme Réseau désigne les serveurs Web, serveurs de base de données et d'application, et LAN et réseaux étendus. Le Client reconnaît et convient que s'il enfreint ou est suspecté d'enfreindre la Politique d'utilisation acceptable et qu'il n'a pas remédié à ladite violation au cours d'une période de réparation de dix (10) jours à compter de la réception du préavis écrit envoyé par SAP concernant ladite violation, SAP peut : (1) suspendre ou résilier les Services HEC dans la mesure nécessaire pour mettre fin à une telle violation (y compris dans des limites raisonnables, supprimer le Contenu Client stocké dans l'Environnement informatique), (2) exercer tout autre recours légal, équitable et contractuel dont SAP dispose et (3) coopérer pleinement avec toute enquête civile ou pénale ou action en justice en rapport avec l'accès ou l'utilisation des Services HEC par le Client.
Le Client ne doit pas :
1. Revendre, sous-héberger ou fournir des Services HEC de quelque manière que ce soit à des tiers (autres que des Utilisateurs Nommés), sauf accord contraire écrit entre les parties ;
2. Utiliser les Services HEC ou permettre leur utilisation de quelque manière que ce soit (notamment leur transmission, leur distribution ou leur stockage) à toute fin qui s'avère ou est susceptible de s'avérer illégale ou contraire à toute loi gouvernementale, règlementation, règle, injonction, traité ou tarif, frauduleuse ou trompeuse ;
3. Enfreindre les droits de SAP ou de tout tiers ou nuire à SAP ou à tout tiers de quelque manière que ce soit ;
4. Être obscène, incorrect ou harceler ;
5. Perturber, porter préjudice à ou utiliser de façon abusive ou frauduleuse les ressources réseau ou Internet ou toute ressource connectée ;
6. Faire une utilisation, avoir un accès ou exercer une surveillance non autorisés de tout hôte, réseau ou autre réseau ou tout composant ou périphérique, système d'authentification, toutes données, toute installation de site Web, tout code, compte ou toute autre violation des mesures de sécurité.
Exemples :
Sans limiter ce qui précède, le fait d'adopter ou de tenter d'adopter l'une des conduites indiquées dans la liste non exclusive suivante est réputé violer la Politique d'utilisation acceptable :
1. Pornographie ;
2. Harcèlement ;
3. Altération de la source de données (entraînant la production de trafic réseau ou de données mal formées) ;
4. Systèmes de ponzi ou pyramidal ;
5. Imposture, transmission, usurpation ou falsification d'identité à l'aide d'un serveur d'e-mail tiers pour transmettre sans autorisation expresse, ou transformation ou falsification d'en-têtes de messagerie électronique, y compris toute partie de l'en-tête de paquet IP et/ou de l'adresse e-mail, l'identité de l'expéditeur, publication ou toute autre méthode utilisée pour falsifier, déguiser ou cacher l'identité de l'utilisateur ou pour provoquer des perturbations ;
6. Piraterie ou escroquerie (utilisation non autorisée de comptes ou de ressources n'appartenant pas au Client, escroquerie, vol ou duperie pour obtenir des mots de passe, etc.) ;
7. Distribution de code nuisible tel que des virus informatiques, des vers et des portes dérobées ;
8. Surcharge d'infrastructure partagée ;
9. Déni de service, SYN flood ou autres attaques par envoi de volumes de données en masse ou autres comportements abusifs destinés à perturber ou à désactiver le système destinataire.
Annexe relative au traitement des données personnelles sur mandat
La présente annexe relative au Traitement des données personnelles sur mandat précise les droits et obligations du Client et de SAP concernant les données personnelles traitées par SAP au nom du Client et de ses Sociétés affiliées pour des Utilisateurs Nommés dans le cadre du présent Contrat. La présente Annexe fait partie intégrante du contrat. Les termes commençant par une majuscule dans les présentes ont la signification qui leur est donnée dans le Contrat.
1. Obligations du Client
1.1 Le Client reconnaît par les présentes que l'utilisation des Services HEC représente un traitement sur mandat des données personnelles d'Utilisateurs Nommés.
1.2 Le Client reconnaît que seuls le Client et ses Sociétés affiliées (chacun un contrôleur de données) sont habilités à autoriser le traitement des données personnelles et qu'il leur incombe de préserver les droits des personnes concernées (à savoir, les utilisateurs Nommés).
1.3 Le Client doit veiller à ce que ses Sociétés affiliées (lorsque la loi l'exige) transmettent au Client par écrit, par télécopie ou par courrier électronique, leur mandat autorisant SAP et ses Sociétés affiliées à traiter des données personnelles ainsi que le prévoit le présent Contrat.
1.4 Le Client doit s'assurer que ses Utilisateurs Nommés mettent les données personnelles à traiter à la disposition de SAP et que les résultats du traitement soient ensuite transférés par SAP au Client par l'utilisation d'une procédure de transfert définie ou conformément à la fonctionnalité implémentée dans les Services HEC.
1.5 Le Client s'engage à informer SAP sans délai si des Utilisateurs Nommés remarquent des erreurs ou des irrégularités dans le traitement de données personnelles.
1.6 Le Client doit s'assurer que ses Sociétés affiliées l'autorisent à habiliter SAP en tant que sous-traitant pour le traitement de données personnelles. SAP doit uniquement se conformer aux obligations définies dans la présente Annexe lors du traitement des données personnelles des Utilisateurs Nommés.
2. Obligations de SAP
2.1 SAP s'engage à traiter les données personnelles et autres données opérationnelles d'Utilisateurs Nommés en se conformant strictement aux instructions du contrôleur de données, telles que fournies par le Client à SAP, qui peuvent inclure sans s'y limiter la rectification, la suppression et/ou le blocage des données concernées, dans la mesure où les fonctionnalités des Services HEC ne permettent pas au Client ou à l'Utilisateur Nommé de procéder auxdites actions. SAP ne doit pas utiliser les données personnelles à d'autres fins que pour fournir les Services HEC prévus en vertu du Contrat. SAP ne doit pas conserver lesdites données personnelles pour une durée supérieure à celle indiquée par le Client. Les périodes de conservation légales restent valables.
2.2 Pour le traitement des données personnelles, SAP ne peut faire intervenir que des personnes ayant obligation de respecter la confidentialité des données et le secret des télécommunications, conformément à la législation applicable en matière de protection des données. SAP peut s'acquitter des obligations précédentes en faisant signer à ses employés un modèle contractuel standard concernant lesdites obligations de confidentialité.
2.3 SAP s'engage à mettre en œuvre toutes les mesures techniques et organisationnelles requises en vue de respecter les exigences de la législation applicable en matière de protection des données. SAP s'engage à prendre les mesures techniques et organisationnelles appropriées pour préserver la sécurité des données personnelles et les protéger contre tout traitement non autorisé ou illégal et toute perte, destruction ou préjudice accidentel. En particulier, SAP s'engage à contrô ler les mesures de protection suivantes :
• Contrôle des accès physiques : SAP s'engage à installer un système de contrôle d'accès.
• Contrôle d'accès : SAP s'engage à contrôler et à enregistrer les accès aux systèmes de traitement des données.
• Contrôle de limitation de l'accès : SAP s'engage à définir, mettre en œuvre et contrôler des principes relatifs aux droits d'utilisation des Utilisateurs Nommés, des règles pour les mots de passe, ainsi que des procédures de connexion pour l'accès physique ou à distance aux Services HEC par son personnel, conformément aux exigences d'exploitation, de maintenance, de support ou de sécurisation des Services HEC.
• Contrôle des transmissions : SAP s'engage à assurer la transmission des données à caractère personnel sous forme cryptée ou par une procédure de sécurisation équivalente. Les transmissions doivent être enregistrées et les directives pour la transmission des données à caractère personnel doivent être consignées par écrit.
• Contrôle des saisies : SAP s'engage à mettre en œuvre un système d'enregistrement détaillé pour la saisie, la modification et la suppression ou le blocage des données personnelles, dans la plus large mesure acceptée par les Services HEC.
• Gestion des travaux : SAP s'engage à définir par écrit et à établir des mécanismes de contrôle afin de s'assurer que le traitement des données s'effectue conformément aux instructions du contrôleur de données, telles que fournies à SAP par le Client et telles que prévues dans le Contrat.
• Contrôle de la disponibilité : SAP s'engage à utiliser un système de sauvegarde et à définir une procédure de restauration pour protéger les données personnelles en cas de destruction ou de perte accidentelle.
• Séparation des données : SAP s'engage à utiliser des moyens techniques et des procédures organisationnelles spécifiques afin que les données personnelles collectées à des fins différentes (par exemple, pour des clients différents) puissent être traitées séparément. Concernant les moyens techniques, il peut s'agir de systèmes informatiques distincts
ou d'une séparation logique dans une architecture partagée. Un client SAP ne doit pas pouvoir accéder aux données d'un autre client SAP.
Étant donné que SAP fournit les Services HEC à tous les clients de façon uniforme par l'intermédiaire d'une application hébergée basée sur Internet, toutes les mesures techniques et organisationnelles appropriées et alors en vigueur s'appliquent à la totalité de la clientèle de SAP hébergée à partir du même centre de données et abonnée aux mêmes Services HEC. Le Client comprend et accepte que les mesures techniques et organisationnelles sont soumises à une évolution technique et à des développements. À cet égard, SAP, peut, à sa seule discrétion, mettre en œuvre des mesures alternatives adaptées dans la mesure où le niveau de sécurité des mesures est maintenu. En cas de changements importants, SAP s'engage à transmettre au Client une notification accompagnée de toute documentation nécessaire afférente, par e-mail ou par publication sur un site Internet auquel le Client peut facilement accéder.
2.4 Si les mesures de sécurité mises en œuvre par SAP ne respectent pas les exigences légales, SAP est tenu d'en informer le Client sans délai.
2.5 SAP s'engage à informer le Client s'il considère qu'une instruction donnée par le Client au nom du responsable de traitement des données constitue une violation de la législation en matière de protection des données. Toutefois SAP ne sera pas tenu de procéder à une analyse juridique complète.
2.6 SAP s'engage à informer rapidement le Client en cas de perturbations graves du mode opératoire, de violations présumées de la protection de données ou d'autres irrégularités en rapport avec le traitement des Données Client.
2.7 À la demande écrite du Client et aux frais de ce dernier, SAP s'engage, dans une juste mesure, à aider le Client à traiter les demandes des personnes concernées et/ou d'une autorité de contrôle concernant le traitement des données personnelles contrôlées par le Client. SAP notifiera au Client toute inspection ou mesure de surveillance qui serait diligentée par une autorité compétente.
2.8 À l'expiration ou à la résiliation du Contrat sur le traitement des données du Client, SAP doit, conformément aux conditions du Contrat (ou toute autre clause contractuelle pertinente) et aux instructions du Client, soit (i) renvoyer au Client toutes les Données Client et toutes les copies ou reproductions de celles-ci (sauf pour les supports de sauvegarde utilisés pour plusieurs clients SAP dont les données sont régulièrement écrasées) ; ou (ii) effacer et/ou détruire lesdites données personnelles et lesdits supports sur des systèmes de production et à en confirmer l'effacement et/ou la destruction au Client par écrit.
2.9 Les dispositions impératives des lois et réglementations applicables en matière de protection des données s'appliquent en outre. En cas de conflit avec les conditions de la présente Annexe, lesdites dispositions prévaudront.
3. Sous-traitants
SAP est autorisé à engager des sous-traitants pour le traitement des données personnelles (chacun un "Sous-traitant"), SAP demeurant toutefois responsable des actes ou omissions de ses Sous-traitants dans la même mesure que s'il s'agissait de ses propres actes ou omissions. SAP doit transférer à ses Sous-traitants l'obligation de SAP à l'égard du Client définie dans le présent document et obliger lesdits Sous-traitants à respecter l'ensemble des règles pertinentes de protection des données. SAP communiquera au Client à sa demande par e-mail ou par l'intermédiaire du Site ou autre modalité le nom, l'adresse et le rôle de chaque Sous-traitant concerné. SAP doit veiller à ce que chaque Sous-traitant maintienne un niveau adéquat de protection des données conformément aux réglementations ou au Contrat conclu avec SAP, ledit niveau de protection ne devant pas être considérablement inférieur à celui qui incombe à SAP en vertu du Contrat.
4. Droits de contrôle du Client
4.1 Pendant la durée du Contrat, le Client peut demander une auto-certification écrite annuelle à SAP, sur la base d'un audit réalisé par un tiers indépendant (par exemple, un rapport "SSAE16-CUS II"), qui examine en détail le traitement des données personnelles et confirme sa conformité aux mesures convenues dans les présentes. Si le Client a des motifs raisonnables de soupçonner un non-respect de la présente Annexe, en particulier si le résultat de l'audit en fait état expressément ou si SAP n'est pas audité à temps, le Client (ou un responsable d'audit tiers indépendant en son nom qui est soumis à des obligations de confidentialité strictes) peut auditer l'environnement de contrôle de SAP et ses pratiques de sécurité uniquement dans la mesure correspondant aux données personnelles traitées en vertu des présentes une fois au cours d'une période de 12 mois, à ses propres frais, moyennant une notification écrite préalable opportune (au moins 30 jours) et dans un délai, un lieu et des conditions raisonnables. Le contrôle doit être effectué, après l'envoi d'un préavis à SAP, pendant les heures de bureau dans les locaux de SAP où le traitement des données à caractère personnel est réalisé.
4.2 SAP doit, dans une mesure raisonnable, apporter son aide au Client lors desdits processus de vérification et lui fournir l'accès requis aux informations applicables.
4.3 SAP devra protéger, contractuellement, les droits de contrôle du Client auprès des sous-traitants de SAP susceptibles d'être en contact avec les données personnelles. Lorsque la loi applicable en matière de protection des données exige qu'un responsable de traitement de données établisse une relation contractuelle directe avec SAP, SAP autorise et habilite le Client par les présentes à établir un contrat avec ledit responsable de traitement de données au nom de SAP, mais uniquement en se basant sur un modèle de contrat que SAP fournira au Client à la demande de ce dernier.
4.4 Les services rendus par SAP afférents aux droits de surveillance du Client seront financièrement à la charge du Client.
5. Obligation de confidentialité particulière
SAP s'engage à traiter les données personnelles portées à sa connaissance de manière confidentielle et à les utiliser exclusivement pour le traitement de données sur mandat en association avec la prestation des Services HEC prévue dans le présent Contrat. SAP s'engage à imposer à ses employés qui pourraient prendre connaissance de données personnelles les mêmes obligations de confidentialité que celles contractées par SAP dans les présentes. SAP s'engage à déployer des efforts raisonnables afin de s'assurer que les employés auxquels il concède un accès aux données personnelles sont régulièrement formés en matière de sécurité informatique et de protection des données.