Contrat-cadre de services informatiques en nuage, cloud entre

Version 1.0 du 01.04.2019 Contrat-cadre pour fournisseurs sans lien à l’étranger

Contrat-cadre de services informatiques en nuage, cloud

entre

Nom

Rue et n°

NPA et localité ci-après le "client" ;

et

Nom

Rue et n°

NPA et localité ci-après le "fournisseur" ;

Individuellement désignés par "partie" et collectivement par "parties".

Remarques

Ce modèle de contrat constitue l’un des documents conçus par la Fédération Suisse des Avocats pour un appel d’offres de services informatiques en nuage, cloud. Son objectif fondamental est de garantir le respect des exigences légales spécifiques auxquelles l’avocat est soumis dans l’utilisation de tels services. En proposant une réglementation minimale, ce modèle facilitera les négociations contractuelles. Cas échéant, il pourra être complété par des dispositions plus détaillées adaptées au cas particulier.

Les chapitres et autres passages de texte surlignés en jaune formulent des recommandations ou propositions pour régler conventionnellement la question traitée. La réglementation pourra en être modifiée ou affinée par les parties durant la phase précontractuelle.

Lors de l’appel d’offres, tout ce qui n’a pas été surligné en jaune répond à des exigences minimales permettant de comparer adéquatement les différentes offres contractuelles. En soumettant leur offre, les fournisseurs reconnaissent que ces exigences minimales constituent une base contractuelle de leur proposition.

Les commentaires surlignés en gris italique ou entre crochets fournissent l’explication de clauses particulières prévues par ce contrat. Ils doivent être supprimés avant sa signature. Ces explications ne couvrent pas exhaustivement les risques et autres considérations dont il faudra tenir compte.

Même si ce contrat a été établi avec le plus grand soin, les auteurs de celui-ci, de même que la FSA, déclinent toute responsabilité pour d’éventuelles erreurs ou omissions, ainsi que pour les conséquences résultant de son utilisation dans la pratique.

Le terme de 'client' couvre tant l’étude d’avocats dotée de sa propre personnalité juridique (p. ex. la société anonyme d’avocats) qu'une personne physique (avocat indépendant). Enfin, le texte utilise le neutre générique, à l’exclusion de toute précision sexuée.

Table des matières

1. Remarques liminaires 6

2. Objet du contrat et structure 6

2.1 Contrat-cadre et contrats individuels 6

2.2 Bases contractuelles 6

2.3 Hiérarchie des documents 7

2.4 Exclusion de conditions générales 8

3. Étendue des services 8

4. Obligations du fournisseur 8

4.1 Exécution personnelle et sous-traitance 8

4.2 Lieu d'exécution 8

4.3 Information 9

4.4 Instructions et documentation 9

4.5 Conformité aux normes 9

4.6 Coopération avec d'autres partenaires économiques du client 9

5. Obligations de CONFIDENTIALITE et de protection des données 10

5.1 Maintien du secret professionnel 10

5.2 Traitement des données du client 11

5.3 Protection des données 15

5.4 Sécurité des données 16

5.5 Modification du cadre juridique 17

5.6 Clause pénale 17

5.7 Durée des obligations de confidentialité et de protection des données 18

6. Recette informatique 18

7. Contrat de Management 18

7.1 Interlocuteurs 18

7.2 Tenue de séances régulières 18

7.3 Coopération 19

7.4 Nécessité de modifier le contrat 19

7.5 Souhait de modifier le contrat 19

7.6 Procédure en cas de divergences 19

8. Droits de contrôle 20

8.1 Preuve du respect de la sécurité des données 20

8.2 Contrôle des autorités de surveillance du client 21

8.3 Répartition des coûts 21

9. Rémunération 21

9.1 Obligation de paiement 21

9.2 Facturation et délai de paiement 21

9.3 Dépôt avec effet libératoire sur un compte bloqué 22

10. Garanties et autres promesses 22

11. Responsabilité 23

12. Indemnisation 23

13. Assurance 23

14. Durée et fin du contrat 24

14.1 Entrée en vigueur et durée 24

14.2 Résiliation ordinaire 24

14.3 Résiliation extraordinaire 24

14.4 Effets de la résiliation 25

15. Concours du fournisseur lors de la résiliation 25

15.1 Données, logiciels et paramétrage 25

15.2 Soutien lors de migration informatique 25

15.3 Retard dans la migration informatique 26

15.4 Rémunération de la migration informatique 26

16. Dispositions finales 26

16.1 Intégralité de l’accord 26

16.2 Cession des droits 26

16.3 Non-renonciation aux droits 26

16.4 Forme écrite 26

16.5 Clause de sauvegarde 27

16.6 Droit applicable 27

16.7 For 27

16.8 Expertise-arbitrage 27

16.9 Tiers à désigner conjointement 28

Annexe C1 – Rémunération 29

Annexe C2 – Déclaration de confidentialité des collaborateurs 30

Annexe C3 – Protocole de recette (modèle) 32

Annexe C4 – Liste des Logiciels utilisés 34

Annexe C5 – Sous-traitants autorisés 35

Annexe C6 – Contrat de Sous-traitance des données 36

Annexe C7 – Concept de sauvegarde des données 37

Contrat de services 38

1. Obligations du fournisseur 38

1.1 Catalogue de services et SLA 38

1.2 Droits d’utilisation des services 38

1.3 Développements ultérieurs 38

2. Rémunération 38

3. Obligations du client 38

4. Entrée en vigueur et durée 39

Annexe S1 – Catalogue de services et SLA 40

Contrat de projet individuel (modèle) 41

1. Obligations du fournisseur 41

2. Échéancier 41

3. Responsabilités 41

4. Obligations du client 42

5. Recette informatique des services proposés 42

5.1 Processus et critères 42

5.2 Protocole de réception 42

6. Rémunération 42

6.1 Jalons et plan de paiement 42

6.2 Retenue de garantie 42

Annexe P1 – Jalons du projet et plan de paiement 44

1. Remarques liminaires

[à compléter individuellement, p. ex. :

• Description sommaire du client ;

• Description sommaire du fournisseur ;

• Contexte et objectif fondamental du contrat-cadre].

2. Objet du contrat et structure

   1. Contrat-cadre et contrats individuels

Les présentes dispositions forment un contrat-cadre définissant les éléments essentiels des relations contractuelles entre les parties. Ces conditions de base s'appliquent à l’ensemble des commandes et contrats subséquents liés à la mise en œuvre des services cloud (ci-après "les contrats individuels"). Les obligations de service à proprement dites sont définies dans les contrats individuels.

2. Bases contractuelles

Ce contrat-cadre de services cloud est composé des documents énumérés ci-dessous, collectivement désignés par le "contrat":

1. Contrat-cadre (ce document);

Annexe C1 – Rémunération

Annexe C2 – Déclaration de confidentialité des collaborateurs

Annexe C3 – Protocole de recette (modèle)

Annexe C4 – Liste des logiciels utilisés

Annexe C5 – Sous-traitants autorisés

Annexe C6 – Contrat de sous-traitance des données

Annexe C7 – Concept de sauvegarde des données

2. Contrat de services (contrat individuel)

Annexe S1 - Catalogue de services et SLA

3. Contrat de projet individuel (modèle)

Annexe P1 – Jalons du projet et plan de paiement

La structure du contrat est représentée dans le schéma ci-dessous:

3. Hiérarchie des documents

En cas de contradiction, le contrat-cadre ou les contrats individuels s’appliqueront en priorité sur leurs annexes respectives. En cas de contradiction entre le contrat-cadre et les contrats individuels, le contrat-cadre et ses annexes s’appliqueront en priorité. Si les contrats individuels sont en contradiction entre eux, les plus récents s’appliqueront en priorité.

4. Exclusion de conditions générales

Les parties ne reconnaissent pas des conditions générales supplémentaires. Elles sont sans effet et ne s'intègrent pas au contrat. Si des conditions générales sont ajoutées aux offres ou commandes ultérieures, elles ne seront valables que si les deux parties confirment par écrit leur intention de s’écarter des présentes dispositions.

3. Étendue des services

Le fournisseur s’engage à exécuter ses services conformément à ce contrat, en tenant notamment compte des contrats individuels et de leurs éventuelles modifications.

4. Obligations du fournisseur

   1. Exécution personnelle et sous-traitance

En principe, le fournisseur s’exécute personnellement. L’appel à des sous-traitants ne se fait qu’après consentement écrit du client et à la condition que les obligations contractuelles et les garanties du fournisseur formulées par ce contrat-cadre (en particulier sur la protection des données et leur confidentialité) puissent être reportées sur le sous-traitant.

Les sous-traitants approuvés par le client et les éventuelles restrictions à n’effectuer que certains services ou types de services sont énumérés à l'Annexe C5 – Sous-traitants .

Le fournisseur répond, comme s'ils étaient siens, des services effectués par le sous-traitant.

2. Lieu d'exécution

Le fournisseur exécute ses services exclusivement en Suisse. En particulier, l’ensemble du traitement des données s’effectue intégralement sur territoire suisse. Le fournisseur ou ses sous-traitants ne sont pas autorisés à réaliser des opérations sur les données depuis l’étranger (remote access), p. ex. pour des services de maintenance.

Le fournisseur exécute des services sur place (p. ex. l'installation du matériel informatique nécessaire au cloud), sur tous les sites suisses du client.

3. Obligations d'iInformation

Les parties s’informent réciproquement et sans délai des circonstances et des faits susceptibles de compromettre ou de remettre en question l'exécution conforme du contrat.

Le fournisseur rend son client attentif à toute évolution qui demande une modification des services pour des raisons techniques, économiques ou juridiques.

4. Instructions et documentation

Pour l’utilisation de ses services cloud, le fournisseur donne au client une formation initiale de ... [heures précises ou journées de travail]. Toute formation supplémentaire destinée à l’utilisateur final est convenue séparément et rémunérée conformément aux tarifs horaires de l’Annexe C1 – Rémunération.

Le fournisseur remet au client les documents imprimés ou numériques suivants :

• Manuel(s) d’utilisation ;

• [à compléter individuellement].

5. Conformité aux normes

Pour ses services, le fournisseur applique les normes suivantes :

• ITIL 2011

• [à compléter individuellement].

6. Coopération avec d'autres partenaires du client

[à compléter individuellement, p. ex. :]

Le fournisseur coopère avec les autres partenaires du client, conformément aux instructions de ce dernier. Les parties peuvent convenir que certaines tâches de coordination du client vis-à-vis de ces autres partenaires pourront être déléguées au fournisseur.

5. Obligations de confidentialité et de protection des données

   1. Confidentialité

      1. Traitement des informations confidentielles

À l’égard des tiers, les parties préservent une stricte confidentialité des informations fournies ou qui seront fournies, des données et connaissances échangées entre parties, ainsi que du contenu et de l'existence du contrat (collectivement désignés par "informations confidentielles"). Cette obligation de confidentialité ne s’éteint pas et déploie ses effets au-delà de la durée contractuelle.

Les parties garantissent que les informations confidentielles acquises de part et d’autre au cours de leurs activités contractuelles sont soigneusement conservées et protégées de toute consultation par des tiers. En outre, ces informations confidentielles ne sont utilisées que pour un traitement autorisé et une exécution conforme au contrat, sans les détourner à des fins personnelles ou pour autrui, y compris après la résiliation du contrat.

Même après leur échange entre parties, les documents restent en la propriété de la partie qui les a transférés à l’autre. Ces documents lui seront restitués sur simple demande après résiliation du contrat. Les éventuelles copies seront détruites dans la mesure où un délai de conservation ne s'y oppose pas. Cette destruction des documents sera confirmée par écrit.

2. Secret professionnel

Le fournisseur reconnaît que le client et ses collaborateurs sont soumis au secret professionnel et qu'une grande partie des informations traitées pour le client constituent des secrets, dont la violation est pénalement réprimée par l'art. 321 CP. Le fournisseur s’engage lui aussi à respecter les dispositions légales liées au secret professionnel.

Dans ce même contexte, le fournisseur garantit que tous ses collaborateurs, ainsi que ses sous-traitants et leurs collaborateurs chargés de fournir les services cloud auront préalablement signé la déclaration de l'Annexe C2 – Déclaration de confidentialité des collaborateurs, et que celle-ci sera dûment observée. Si le client le demande, le fournisseur lui remet les déclarations signées.

[Remarque : la doctrine est divisée sur la question de savoir si, en application de l’art. 321 CP, le consentement du maître du secret (en règle générale le client) est nécessaire pour faire appel à un auxiliaire tel que le fournisseur de services cloud.]

3. Autres exigences

[à compléter individuellement ; on vise ici les éventuelles exigences supplémentaires pour d’autres secteurs professionnels tels que les notaires ou intermédiaires financiers]

2. Traitement des données du client

   1. Contrôle des données du client

Pour toutes les données que le fournisseur traite au nom du client (ci-après les "données du client"), ce dernier en conserve la maîtrise et le droit d’en disposer en tout temps, que ces données aient été initialement transmises par le client ou par un tiers au fournisseur, ou qu'elles aient été acquises directement par le fournisseur (telles que les métadonnées, les données d'utilisation, leur paramétrage, …). Dans la mesure où cette opération est techniquement possible, le fournisseur marque d’un signe distinctif toutes les données du client.

2. Archivage des données et période de conservation

Le fournisseur organise un archivage conforme aux exigences légales de valeur probante (en particulier l’Ordonnance concernant la tenue et la conservation des livres de comptes; RS 221.431).

Si le client ne demande pas explicitement une période de conservation plus longue, le fournisseur conserve les données du client pendant ... [durée, p. ex. dix ans] avant de les détruire définitivement. [si souhaité, à compléter individuellement : période d’archivage au-delà de l’utilisation effective des services cloud (p. ex. après la résiliation du contrat), en attribuant au fournisseur une rémunération équitable].

Avant de détruire les données, le fournisseur informe le client par écrit de son intention, en lui proposant de transmettre les données dans un format structuré, couramment utilisé et lisible par machine, conforme aux exigences légales de valeur probante [si souhaité, à compléter individuellement : exigences relatives au format et au protocole de destruction]. Le fournisseur garantit que les autorités (telles que les administrations fiscales) pourront consulter les données archivées dans les limites prévues par la loi et sur instructions écrites du client (voir également chiff. 8.1.2).

[Commentaire : il convient d’opérer une distinction fondamentale entre les données en cours d’utilisation (et leur sauvegarde sur un support adéquat) et les données archivées. Lors de l’utilisation de services cloud, les données comptables et fiscales, ainsi que d'autres données juridiquement pertinentes, doivent également être conservées sous forme de preuves non modifiables. L’impression de données numériques ne répond pas à cette exigence, dès lors que rien ne garantit que le document imprimé corresponde bien au document numérique. Le client peut soit utiliser la solution d'archivage du fournisseur de cloud (auquel cas la condition précitée s’appliquet), soit télécharger dans son propre système d’archivage – via une interface – ses données de client stockées dans le cloud. Pendant la période d’archivage (quel que soit le type de celui-ci), les autorités fiscales, pour donner cet exemple, doivent pouvoir effectuer des contrôles. Lors du transfert des données archivées à la fin de la période contractuelle, il faudra veiller à ce que l’exigence de valeur probante des pièces soit bien remplie (en particulier en matière de signature et de chiffrement) et que les étapes du processus aient été dûment consignées.]

3. Remise des données au client au cours du contrat

Le client peut en tout temps demander que l’ensemble de ses données lui soient livrées dans un format structuré, couramment utilisé et lisible par machine. Dans la mesure où cette possibilité s’avère judicieuse au regard des services proposés, le fournisseur offre également au client la possibilité de télécharger lui-même ses données, à tout moment, afin de les stocker automatiquement chez lui. Par ailleurs, à la résiliation du contrat-cadre ou d'une partie de celui-ci, le fournisseur propose spontanément au client la livraison ou le téléchargement des données du client dans un tel format. [si souhaité, à compléter individuellement : possibilité, pour le client, d'accéder directement à toutes ses données et de les télécharger lui-même, exigences de forme pour les données, contenu de celles-ci et type de livraison]

4. Restitution ou destruction des données du client après résiliation du contrat

À la résiliation du contrat, le fournisseur restitue ou détruit, conformément aux instructions du client, toutes les informations et données reçues par ou pour le client dans le cadre des services proposés. Le fournisseur détruit toutes les copies encore en sa possession. Sur demande du client, le fournisseur lui confirme cette restitution ou destruction complète. Pour cette dernière, il lui fait également parvenir le protocole y relatif. [si souhaité, à compléter individuellement : exigences liées à la destruction de données]

[Commentaire : la destruction des données est une question épineuse qui suscite de nombreuses questions techniques.

• Pour réaliser des économies d'échelle dans l'infrastructure (dans l’optique d’obtenir pour les clients des avantages en termes de prix), les fournisseurs exécutent souvent des sauvegardes en bloc (sur l’ensemble du système et des installations), avec la conséquence de l’amalgame de données de plusieurs clients. Dans ce cas, la destruction des données d'un seul client pose des problèmes techniques (et chronophages), mais aussi juridiques (intégrité de la sauvegarde au regard de la réglementation applicable au stockage de données par un fournisseur). L'architecture logicielle doit être définie de manière à ce que les données du client ne soient pas enregistrées dans des sauvegardes globales, mais conservées individuellement et marquées d’un signe distinctif (p. ex. sur un support de sauvegarde séparé). Les données pourront ainsi être dissociées en cas d'insolvabilité du fournisseur ou de restitution au client à la résiliation du contrat. Si, malgré les problèmes juridiques évoqués, le client renonce à des sauvegardes individuelles pour des raisons de coût, le contrat doit à tout le moins garantir que les données du client ne pourront pas, après la résiliation du contrat, être restaurées à partir d’une sauvegarde globale.

• Un problème similaire se pose avec les supports de stockage: même si les données semblent avoir été supprimées du disque dur, elles peuvent souvent être récupérées avec un logiciel destiné à ce type de procédure. Pour empêcher de telles restaurations, les données doivent passer par des procédures spéciales (p. ex. un écrasement multiple, réalisé stochastiquement). La destruction sécurisée des données répond à des normes (p. ex. la DIN 66399 de 2012 sur la destruction de supports de données). Pour exclure techniquement une récupération, les données du client devraient être stockées sur un support dédié, remis ou détruit à la fin du contrat. Dans ce cas, il n’y aura pas d’économies d'échelle possibles, puisque les solutions cloud ne seront pas exploitées via une infrastructure partagée ou une distribution dynamique des données en fonction de la charge de chaque serveur du centre de données. Si, malgré les problèmes juridiques évoqués, le client ne souhaite pas utiliser de supports de stockage séparés pour ses services cloud, le contrat doit à tout le moins garantir que les données du client seront détruites à la résiliation du contrat, qu’elles ne pourront pas être récupérées et que tous les supports de données seront éliminés de manière sûre dans le centre de données.]

5. Restitution des données lors d'une procédure de faillite ou d’une procédure concordataire

Le fournisseur garantit que les données du client pourront être dissociées de données de tiers et être restituées au client si le fournisseur ou l'un de ses sous-traitants se trouve en situation de faillite ou d'une procédure concordataire concordat. Dans de telles procédures, une réalisation des données du client en actifs est exclue. À cet effet, le fournisseur prend préalablement toutes les mesures nécessaires pour que les données du client soient exclues d’une telle réalisation et restent, conformément au contrat, en tout temps disponibles pour le client.

[Commentaire: Pour des raisons pratiques, il nous paraît important d'informer le fournisseur qu'il doit tout mettre en œuvre pour que les données du client puissent être dissociées sans difficultés en cas d'insolvabilité. En effet, après la mise en faillité, il n’appartient plus au fournisseur de se prononcer sur une éventuelle restitution des données, mais à l'administration. Concrètement, le tri des données ne peut être garanti que si celles-ci ont préalablement été stockées sur des supports dédiés dont le client reste en tout temps propriétaire].

6. Remise des données à des tiers

Si un tiers (p. ex. une autorité) s'adresse au fournisseur ou à un sous-traitant et lui demande de lui remettre les données du client, le fournisseur ou le sous-traitant en informe immédiatement le client. Les données de celui-ci ne peuvent être transmises à un tiers qu’après son consentement écrit. Si le fournisseur ou le sous-traitant reçoit l’injonction judiciaire de remettre les données ou si une demande est introduite dans ce sens contre le fournisseur ou le sous-traitant, ou si les circonstances montrent qu’il y aura une procédure, le fournisseur en informe immédiatement le client et prend toutes les mesures en son pouvoir, en particulier interjette tous les recours possibles afin de s’opposer à la remise des données du client ou – si cela n’est pas possible – de la restreindre par tous les moyens possibles, p. ex. en demandant une mise sous scellés des données, conformément aux art. 248 ss CPP.

Le fournisseur informe immédiatement le client par écrit si les circonstances montrent que des autorités étrangères pourraient exiger une remise des données (p. ex. lors de la reprise du fournisseur par une société étrangère ou de l’application de décrets autorisant un État étranger à accéder à des données, tel que le Clarifying Lawful Overseas Use of Data Act (CLOUD act) des États-Unis d’Amérique). Dans un tel contexte, le client dispose d’un droit de résiliation extraordinaire du contrat.

[Commentaire : La remise de données à des autorités étrangères soulève de nombreuses questions délicates. Les rattachements juridiques d’une telle procédure sont définis dans les lois nationales respectives. Selon l’Etat, ces rattachements peuvent notamment être l’emplacement du centre de données, le siège de la société, la cotation en bourse de la société ou de la société mère, la succursale ou le site d’exploitation (p. ex. le site étranger depuis lequel des services de maintenance sont fournis à distance vers un centre de données en Suisse). L'obligation de ne stocker des données que dans un centre établi en Suisse ne confère dès lors pas une protection absolue contre ce type de demandes étrangères. Certaines législations nationales font également interdiction au fournisseur d'informer le client des procédures en cours. L’obligation d’information prévue dans ce contrat-cadre reste toutefois pertinente dans tous les cas où le fournisseur dispose d’un droit d’informer le client].

3. Protection des données

   1. Finalité

Le fournisseur applique les dispositions légales en matière de protection des données. Il traite ainsi toutes les données personnelles du client, auxquelles il accède en fournissant ses services, en suivant les instructions du client et uniquement pour exécuter ses obligations contractuelles. Le fournisseur ne peut utiliser les données du client à des fins personnelles ou pour autrui.

Le fournisseur informe ses collaborateurs et sous-traitants des obligations de confidentialité, secret professionnel, et de protection des données, tout en en surveillant leur application permanente. En matière de protection des données, le client peut donner des instructions directement aux collaborateurs et sous-traitants du fournisseur.

2. Conformité aux exigences de protection des données

Le fournisseur garantit que les systèmes qu’il fournit en vertu du contrat répondent à des conditions techniques suffisantes pour demeurer en conformité avec les exigences de protection des données et de sécurité des informations qui s’appliquent au client (notamment les restrictions d’accès).

Le fournisseur garantit que le moins de personnes possible auront accès aux données personnelles. À ce titre, il tient à jour une liste de toutes les personnes ayant accès à ces données dans l’exécution des services contractuels. Sur demande du client, le fournisseur lui remet cette liste accompagnée des déclarations de confidentialité visées au chiff. 5.1.1.2. Tout accès aux données personnelles est consigné dans un journal. Celui-ci sera livré au client sur simple demande.

3. [Facultatif, si souhaité par le client OU nécessaire, notamment au regard de l’art. 28 RGPD] Contrat de sous-traitance des données

L’Annexe C6 – Contrat de sous-traitance des données prévoit d’autres dispositions en matière de protection des données.

4. Sécurité des données

   1. Niveau de sécurité

Le fournisseur protège l’ensemble des données du client selon les standards actuels de la technologie. Cette obligation inclut notamment une protection suffisante contre la destruction non autorisée ou accidentelle des données, leur perte accidentelle, les erreurs techniques, l'appropriation illicite, la modification, la copie, l'accès ou toute autre manipulation non autorisée, ainsi que des mesures visant à assurer la portabilité des données. Dans tous les cas, le fournisseur répond aux exigences minimales du catalogue de mesures prévues par le BSI Baseline Protection Catalogs ou d'une norme jugée équivalente.

Les parties peuvent convenir d’autres obligations plus étendues en matière de protection des données.

2. Transmission de données

Les données du client sont toujours enregistrées sous la forme d’un stockage chiffré chez le fournisseur. Le transfert des données liées à ce contrat-cadre se fait exclusivement via des canaux chiffrés. Cette règle ne s'applique pas aux communications faites par courrier électronique ordinaire, à moins que le client n’exige expressément une transmission chiffrée. Le chiffrement des données transmises et leur stockage se feront toujours en tenant compte de l’évolution de la technologie.

3. Certifications

Le fournisseur dispose, pendant toute la durée contractuelle, des certifications suivantes :

• [à compléter individuellement]

S’il perd l'une de ses certifications, le fournisseur en informe immédiatement le client. [si souhaité, à compléter individuellement : clause de résiliation extraordinaire en cas de perte d’une certification]

4. Notification des violations en matière de sécurité des données

Le fournisseur informe immédiatement le client s'il constate une violation des obligations en matière de protection des données ou s'il a des raisons de soupçonner une telle violation. À ses propres coûts, le fournisseur assiste le client en prenant les mesures appropriées pour minimiser le dommage résultant de telles violations.

5. Sauvegarde des données

Le fournisseur garantit des sauvegardes et restaurations de données qui répondent aux standards actuels de la technologie.

La sauvegarde des données a lieu conformément au concept défini à l'Annexe C7 – Concept de sauvegarde des données. Le délai de conservation des données sauvegardées est d’au moins 30 jours. Le fournisseur effectue par ailleurs des sauvegardes supplémentaires une fois par mois et une fois par année.

Le fournisseur effectue au moins deux fois l’an une batterie de tests sur le bon fonctionnement de la procédure de sauvegarde et de restauration. Le fournisseur communique au client le résultat des tests effectués.

5. Modification du cadre juridique

Le fournisseur reconnaît que le cadre juridique régissant la protection des données personnelles ou le secret professionnel est susceptible d’évoluer au cours du contrat. Cas échéant, le fournisseur remplira toutes les exigences auxquelles le client peut raisonnablement s'attendre afin de continuer à obtenir les services du fournisseur. Si les modifications du cadre juridique montrent de manière évidente que le fournisseur devra renforcer ses services, il peut demander un ajustement équitable de sa rémunération. Dans cette hypothèse, il appartient au fournisseur de démontrer au client la charge précise de travail supplémentaire.

6. Clause pénale

Si le fournisseur, ses collaborateurs ou ses sous-traitants violent les obligations de ce chapitre 5, le fournisseur s’oblige à payer au client un montant de CHF .... [p. ex. CHF 20'000], à moins qu'il ne prouve que ni lui ni ses collaborateurs ni ses sous-traitants ne peuvent être tenus pour responsables. Le paiement de la clause pénale ne libère personne de l’obligation de secret et de protection des données.

7. Durée des obligations de confidentialité et de protection des données

Les obligations de confidentialité et de protection des données en vertu de ce chapitre 5 déploient leurs effets au-delà des relations contractuelles, aussi longtemps que l’autre partie a un intérêt au maintien du secret ou qu’il existe une obligation légale correspondante.

6. Recette informatique

[Commentaire : C’est ici que les parties peuvent définir la recette informatique, soit un protocole de réception des services informatiques prévus dans le projet (p. ex. les phases du protocole, les obligations d’assistance et de soutien du fournisseur, les motifs de refus de réception (refus d’acceptation), la non-renonciation aux droits de garantie lors d’acceptations partielles, les processus en cas d’échec de réception (défaillances)].

7. Management du contrat

   1. Interlocuteurs des parties

Chaque partie désigne un interlocuteur de référence pour toutes questions relatives au contrat :

Interlocuteur de référence du client	Interlocuteur de référence du fournisseur
[à compléter individuellement]	[à compléter individuellement]

2. Tenue de séances régulières

Jusqu’à ce que les services prévus par le contrat soient pleinement opérationnels, les parties se rencontrent régulièrement [p. ex. annuellement] à des séances qui se tiennent à [...]. Chaque partie peut également convoquer des séances extraordinaires.

Lors des séances régulières, seront notamment portés à l’ordre du jour les points suivants :

• Exécution en bonne et due forme des services convenus (qualité des services, satisfaction du client, cadre budgétaire, problèmes et défaillances dans la fourniture des services)

• Questions ouvertes liées à l'interprétation et à l’exécution du contrat, nécessité d'adapter les relations contractuelles

• Perspective et cycle de vie des services proposés

Chaque partie supporte ses propres coûts de séance.

3. Obligations de coopération

S’il estime que le client ne respecte pas ses obligations de coopération pour la bonne exécution du contrat, qu’il s’exécute tardivement ou qu’il n’agit pas dans la mesure requise, le fournisseur en informe le client par écrit à l'adresse suivante : [insérer l'adresse].

4. Nécessité de modifier le contrat

Les parties reconnaissent que des modifications au contrat-cadre pourront être nécessaires durant le contrat, p. ex. en raison de changements dans le cadre réglementaire. Dans ce cas, les parties renégocieront le contrat dans un esprit de bonne foi et d’équité et conviendront des ajustements contractuels afin que le client puisse continuer de recevoir des services conformes au droit.

5. Processus de gestion du changement

[à compléter individuellement, p. ex.

Si l’une des parties souhaite modifier le contrat ou l’étendue des services prévus, elle fait parvenir à l'autre partie une proposition de modification motivée par écrit. Les interlocuteurs de référence des parties (cf. chiff. 7) traitent là aussi la demande dans un esprit de bonne foi et d’équité. En cas de désaccord, elles procèdent conformément au chiff. 7.1.6. Si les parties se mettent d’accord sur la modification, celle-ci est signée et ajoutée au contrat.]

6. Divergences

Si les interlocuteurs de référence ne peuvent s’entendre sur une question liée à l’interprétation du contrat, elles consignent ce désaccord dans un document établi à cet effet. Si elles n’arrivent toujours pas à s’entendre sur une solution ou une démarche permettant de mettre fin au différend dans les [...] jours, elles soumettront celui-ci à ... [niveau d’intervention supérieur].

8. Droits de contrôle

   1. Preuve du respect de la sécurité des données

Le fournisseur apporte régulièrement la preuve qu’il respecte ses obligations en matière de sécurité des données. Cette justification est généralement considérée comme donnée lorsque le fournisseur présente au client le rapport annuel d'un auditeur indépendant reconnu dans le domaine de la sécurité des données, confirmant que toutes les exigences du secret professionnel, de la protection des données et de la sécurité des données sont bien appliquées conformément au contrat. Le fournisseur communique à l’avance au client le nom de cet auditeur. Le client peut contester par écrit les compétences ou l'indépendance de l’auditeur dans les ... jours ouvrables suivant la réception de la notification. Si les parties ne peuvent s'entendre sur la désignation d’un auditeur dans un délai de ... jours ouvrables, le client peut demander la nomination d'un auditeur conformément au chiff. 16.1.9. [éventuellement des règles supplémentaires indiquant si le client est autorisé à consulter l’intégralité du rapport d’audit et si, moyennant rémunération supplémentaire, il peut faire vérifier par cet auditeur des questions particulières, ou p. ex. demander des audits supplémentaires après avoir été informé d'une violation des règles de sécurité des données].

[Remarque : Le droit du client de faire auditer son fournisseur alimente un large débat. Du côté des avocats, il n’existe actuellement aucune règle professionnelle qui exigerait un audit dans la sous-traitance informatique. Toutefois, les exigences de la FINMA sont souvent utilisées par analogie pour les avocats. La circulaire de la FINMA 2018/3 « Outsourcing – banques et assureurs » prévoit qu’un droit d’audit doit être prévu contractuellement (chiff. 26 ss). Toutefois, on imagine mal que des études d’avocats de petite taille réalisent des audits individuels dans les centres de données du fournisseur de cloud. Il serait dès lors judicieux que le fournisseur réalise un audit global à l’attention de toutes les études qui font appel à ses services. Pour prévenir les abus en termes de compétence et d’indépendance, le client devrait pouvoir exercer un droit d’opposition lorsque les circonstances le justifient. Les avocats étant tenus de respecter des exigences professionnelles particulières, un audit général circonscrit à la sécurité informatique est en soi insuffisant. L’auditeur devrait ainsi déterminer si le fournisseur répond ou non aux exigences professionnelles de l’avocat et de protection des données.]

2. Contrôle des autorités de surveillance du client

Le fournisseur donne au client les moyens de justifier ses obligations à l’égard des autorités de contrôle et ses propres clients (voir également le chiff. 5.1.2.2 en ce qui concerne les données d'archives). À cet effet, le fournisseur remet au client toutes les informations nécessaires et garantit aux autorités de surveillance du client un accès direct aux données et aux systèmes, dans la limite des obligations légales. Le fournisseur recueille préalablement le consentement écrit du client.

Dans la mesure du possible, les contrôles sont effectués pendant les heures de bureau du fournisseur, en gênant le moins possible les activités usuelles de celui-ci.

3. Répartition des coûts

Lors d’un contrôle, chaque partie supporte en principe ses propres coûts. Si un contrôle établit une violation des obligations du fournisseur, celui-ci prend en charge les coûts du client (coûts externes + tarif horaire de CHF …).

9. Rémunération

   1. Obligation de rémunération

Le client rémunère le fournisseur selon l'Annexe C1 – Rémunération. Le versement de cette rémunération couvre exhaustivement tous les services prévus, sous réserve de convention écrite contraire.

Toujours sous réserve de convention écrite contraire, les prix mentionnés s’entendent hors TVA. Celle-ci, calculée selon les taux applicables en Suisse, sera payée en sus par le client.

2. Facturation et délai de paiement

[à compléter individuellement ; p. ex. :

Sous réserve de clause contraire dans les contrats individuels, la facturation s’effectue comme suit :

• Pour des paiements non récurrents (y compris une rémunération calculée en fonction du temps consacré), conformément au plan de paiement. Si aucun plan de paiement n'a été défini, au moment de la réception du service ;

• Pour des coûts annuels (p. ex. les frais de maintenance et d’assistance), à chaque fois au milieu de l'année contractuelle ;

• Pour toute autre rémunération récurrente, à la fin de chaque mois.

Le délai de paiement est de ... [durée, p. ex. 30 jours].

La facture est conforme aux dispositions de la Loi fédérale suisse sur la TVA et à toute réglementation étrangère applicable. En particulier, elle contient les indications suivantes :

• Nom, adresse et n° de TVA de l’émetteur de la facture

• Nom et adresse du destinataire de la facture. Sous réserve de clause contraire dans les contrats individuels, la facturation s’effectue à l'adresse suivante, en y indiquant le n° du contrat :

…

• Date ou période des services fournis ;

• Personnes ayant fourni les services, leur nature, objet et étendue ;

• Montant de la facture ;

• TVA : taux applicable et montant respectif.

Les paiements se font en francs suisses (CHF). Si des montants doivent être convertis en CHF, les conversions s’effectuent conformément aux directives de l'Administration fédérale des contributions.]

3. Dépôt avec effet libératoire sur un compte bloqué

En cas de litige concernant l'existence ou le montant d'une rémunération particulière, le client peut déposer le montant litigieux, avec effet libératoire dans l'attente d'une clarification, sur un compte bloqué établi par chaque partie, mais dont les parties ne pourront disposer que conjointement.

10. Garanties et autres promesses

Pour les services convenus, le fournisseur garantit expressément ce qui suit :

• ….

11. Responsabilité

Si une partie viole intentionnellement ou par faute grave ses obligations, la partie concernée endosse une responsabilité illimitée du dommage qui en résulte. Pour tous les autres cas et sous réserve du chiff. 12, la responsabilité est limitée à CHF ... [montant].

12. Indemnisation

Le fournisseur garantit qu’aucun droit de propriété intellectuelle de tiers (logiciels, concepts, scripts, outils, documentation, etc.) n’est violé dans l'exécution du contrat.

À ses propres coûts, le fournisseur défend le client contre les prétentions de tiers, tant judiciairement qu’extrajudiciairement. Le client dispose d’un droit d’intervention dans de tels différends, tant dans le choix de l’avocat que durant le litige ou les négociations.

Si le tiers fait valoir des prétentions directement contre le client, le fournisseur participe, dès que le client le demande, aux possibilités offertes par la procédure applicable.

Le fournisseur prend en charge tous les coûts du client (en particulier les dommages-intérêts, frais d’avocat et frais de justice) qui résultent de la procédure, du jugement ou de la résolution extrajudiciaire du litige. Dans le cas d'un règlement à l'amiable, le fournisseur n’assumera les paiements convenus à des tiers que s'il a consenti à la transaction.

13. Assurance

[à compléter individuellement, p. ex. :]

Le fournisseur conclut, au plus tard au moment de la signature du contrat, une assurance qui couvre intégralement d’éventuelles demandes en dommages-intérêts découlant du contrat. Le droit applicable et le for correspondent à ceux du contrat. Le fournisseur remet spontanément au client une attestation de son assureur, tant sur les prestations que les sommes assurées. Le fournisseur communique au client toute modification ultérieure de la police d’assurance.

Le fournisseur maintient les mêmes prestations et sommes d’assurance pendant toute la durée du contrat. Sur demande du client, le fournisseur remet à celui-ci une attestation du paiement des primes.

Le fournisseur ne peut résilier ou modifier l’assurance qu’après consentement du client. S'il est prouvé qu'il n'y aura pas de lacunes d’assurance, le client ne peut s’opposer à un changement d’assureur qu’en présence de justes motifs.

Le fournisseur garantit que la protection d’assurance sera aussi donnée après la résiliation du contrat pour les dommages survenus durant la validité de celui-ci.

Dans la mesure où la loi le permet, le fournisseur cède à son assureur l’ensemble des droits qui sont en lien avec des prétentions en dommages-intérêts du client. Le fournisseur communique cette cession des droits à l’assurance.

14. Durée et fin du contrat

[à compléter individuellement ; p. ex.

1. Entrée en vigueur et durée

Ce contrat-cadre entre en vigueur dès sa signature et est valable pour une période de ... [durée, p. ex. un an]. Il se renouvelle tacitement [durée, p. ex. d’année en année] s’il n’est pas résilié par l’une des parties conformément aux dispositions qui suivent.

2. Résiliation ordinaire

Les parties peuvent résilier ce contrat-cadre par une déclaration écrite en observant un délai de [p. ex. : six mois] avant l’expiration du contrat. Le fournisseur peut résilier le contrat pour la première fois en .... Les parties peuvent convenir des délais différents dans les contrats individuels.

3. Résiliation extraordinaire

Les parties peuvent invoquer de justes motifs leur permettant, en tout temps, de mettre fin à ce contrat-cadre. À l’encontre du fournisseur, constitue notamment des justes motifs la violation des obligations de confidentialité, de protection ou de sécurité des données, une violation évidente des SLA qui n’est pas rectifiée dans les 20 jours après notification, la faillite (y compris une faillite imminente) ou le concordat (y compris un concordat imminent). À l’encontre du client, constitue notamment un juste motif un retard de plus … mois dans ses obligations de paiement.

4. Effets de la résiliation

La demande de résiliation met fin au contrat-cadre à l’expiration du délai contractuel. Si un ou plusieurs contrats individuels prévoient des délais plus longs, les dispositions du contrat-cadre continueront de s’appliquer jusqu'à l’expiration de ces contrats.

[si souhaité, à compléter individuellement : maintien des dispositions de l'accord-cadre pour les données d'archives encore hébergées par le fournisseur pendant un certain temps]

15. Soutien lors de la résiliation

    1. Données, logiciels et paramétrage

Lors de la résiliation du contrat, le fournisseur met à disposition du client toutes les données de celui-ci, conformément au chiff. 5.1.2.3.

Pour que le client puisse réutiliser ses données au-delà de la résiliation du contrat, le fournisseur utilise exclusivement, pendant toute la durée contractuelle, des traitements de données disponibles sur le marché (logiciels commerciaux ou en open source), ou (lorsqu’il s’agit d’un produit personnalisé) délivre une licence au-delà de la fin du contrat au prix de CHF [prix définis / prix du marché] (cf. l’Annexe C4 – Liste des logiciels utilisés et l’Annexe C1 – Rémunération). [Commentaire : Les produits personnalisés qui seront délivrés sous licence à un prix défini sont énumérés dans l'annexe C1 et référencés dans ce chapitre. Dans tous les autres cas, le renvoi à l'annexe C1 devrait être supprimé.]

À la résiliation du contrat, le fournisseur remet également au client la documentation de configuration et, si le logiciel utilisé le permet techniquement, les données de paramétrage du client qui permettront de maintenir le fonctionnement efficace des solutions.

[si souhaité, à compléter individuellement : convention de remise de l’ensemble de l’installation du client sur une machine virtuelle]

2. Soutien lors de migration

Si le client résilie le contrat, le fournisseur assiste le client dans la réintégration ou la migration de ses données chez un autre fournisseur. Si le client le souhaite, le fournisseur élabore un concept de migration ou contribue à la création d'un tel concept.

3. Retard dans la migration

Si la réintégration ou la migration des données chez un autre fournisseur ne se fait pas dans le délai prévu, le client peut, par déclaration écrite, prolonger le contrat jusqu'à la réalisation complète de la réintégration ou de la migration, aux mêmes conditions que si le contrat n'avait pas été résilié.

4. Rémunération des services de soutien lors de migration

[à compléter individuellement, p. ex.

Le client rémunère le fournisseur pour son concours lors de la résiliation du contrat. Le montant de cette indemnité se calcule selon le tarif horaire habituel du fournisseur, mais au maximum selon les tarifs définis à l’Annexe C1 – Rémunération.]

16. Dispositions finales

    1. Intégralité de l’accord

Ce contrat constitue l’accord complet des parties et remplace toute convention antérieure écrite ou orale.

2. Cession de droits

Les parties ne peuvent céder ou transférer à des tiers, de quelque manière que ce soit, en tout ou en partie, les droits ou obligations définis par le contrat sans le consentement écrit préalable de l'autre partie.

3. Non-renonciation aux droits

Si une partie omet de faire valoir un droit ou un moyen de droit dont elle peut se prévaloir en application du contrat, il ne peut en être déduit que cette partie ait renoncé aux autres droits ou moyens de droit qui y sont liés.

4. Forme écrite

Les parties ne peuvent modifier ou compléter ce contrat, en tout ou en partie, que par écrit, y compris ce chiff. 16.1.4.

5. Clause de sauvegarde

Si certaines dispositions de ce contrat-cadre sont ou devenaient nulles ou inapplicables, ou si ce contrat comportait une lacune, la validité et l’exécution des autres dispositions n’en sont pas affectées. Les parties remplacent les lacunes ou dispositions nulles par des dispositions valables et exécutoires qui, du point de vue des parties, se rapprochent le plus de l'objectif économique visé initialement.

6. Droit applicable

Le contrat est soumis au droit fédéral suisse, à l'exclusion de ses règles de conflit.

7. For

Les tribunaux de ... [lieu] sont seuls compétents pour tout litige relatif au présent contrat.

[Solution alternative: clause compromissoire arbitrale]

8. Expertise-arbitrage

En cas de différends sur des faits, des évaluations et des questions analogues, l'une ou l'autre partie peut demander une expertise-arbitrage contraignante au sens de l’art. 189 CPC, réalisée par un expert indépendant. Celle-ci ne préjuge en rien le droit de mener une procédure d’escalade du conflit ou une procédure judiciaire si la procédure d’escalade du conflit a échoué. En cas d’accord des deux parties, la procédure d'escalade du conflit peut être suspendue jusqu'à l’obtention d’une expertise-arbitrage. Les parties désignent conjointement une personne ad hoc qui mènera cette expertise-arbitrage et définissent la procédure applicable (voir également le chiff. 16.1.7). Si les parties ne peuvent se mettre d’accord sur la procédure, la personne désignée ad hoc statue sur ce point. Elle définit par ailleurs la répartition des frais de procédure. En principe, les coûts sont supportés par la partie qui succombe.

9. Tiers à désigner conjointement

Si les parties ne s’entendent pas sur la nomination d’un tiers à désigner conjointement (p. ex.arbitre, auditeur, …), la décision sera prise par ... [par ex. le tribunal compétent selon le chiff. 16.1.7]. Si celui-ci refuse d’y donner suite, la nomination sera effectuée par le tribunal compétent en vertu du contrat.

Lieu, date

Nom du fournisseur

Nom Nom

Fonction Fonction

Lieu, date

Nom du client

Nom Nom

Fonction Fonction

1. Annexe C1 – Rémunération

   1. Services

Services	Critères de calcul	Période de facturation	Rémunération
[à compléter individuellement]	[à compléter individuellement]	[à compléter individuellement]	[à compléter individuellement]

2. Tarifs horaires

Les parties peuvent convenir par écrit que certains services supplémentaires du fournisseur seront facturés selon les tarifs horaires maximums suivants :

Rôle	Tarif horaire
[Compétence A]	[à compléter individuellement]
[Compétence B]	[à compléter individuellement]
Formation	[à compléter individuellement]
[à compléter individuellement]	[à compléter individuellement]

2. Annexe C2 – Déclaration de confidentialité des collaborateurs

Cette déclaration est signée par toutes les personnes qui fournissent des services pour le... [client] (ci-après le destinataire des services) et qui ont ainsi accès à des informations confidentielles, des secrets professionnels ou des données personnelles.

1. De par les activités déployées à l’égard du destinataire des services, la personne soussignée a accès à des données personnelles et des informations privées qui sont en tout ou en partie soumises au secret professionnel de l’art. 321 CP (ci-après informations confidentielles).

2. La personne soussignée reconnaît qu’elle intervient en qualité d’auxiliaire et qu’à ce titre, une violation de ses obligations peut avoir des conséquences pénales au sens de l’art. 321 CP (violation du secret professionnel, dont la teneur est reproduite ci-dessous).

3. Dans le cadre des relations contractuelles avec le destinataire des services, la personne soussignée respectera les dispositions du droit applicable en matière de protection des données et reconnaît que le destinataire des services pourra lui donner des instructions.

4. En particulier, la personne soussignée préserve le secret des informations confidentielles portées à sa connaissance. Elle les traite exclusivement aux fins contractuellement prévues avec le destinataire des services et ne les transmet ou ne les met à disposition de tiers qu’avec son consentement écrit préalable.

5. La personne soussignée prend les mesures nécessaires pour empêcher, d’une part, les personnes non autorisées à accéder aux informations confidentielles et, d’autre part, que ces dernières ne se perdent. Les éventuels droits d’accès et les mots de passe sont destinés à un usage strictement personnel. La divulgation à d’autres collaborateurs ou des tiers n'est pas autorisée sans le consentement écrit préalable du destinataire des services.

6. Après la résiliation du contrat, l’ensemble des pièces et des documents contenant des informations confidentielles sera, sur instruction du destinataire des services, soit renvoyé à ce dernier, soit définitivement supprimé.

7. Ces obligations déploient leurs effets au-delà de la cessation des relations de travail de la personne soussignée et de la résiliation du contrat avec le destinataire des services.

Art. 321 CP – Violation du secret professionnel

^1. Les ecclésiastiques, avocats, défenseurs en justice, notaires, conseils en brevet, contrôleurs astreints au secret professionnel en vertu du code des obligations, médecins, dentistes, chiropraticiens, pharmaciens, sages-femmes, psychologues, ainsi que leurs auxiliaires, qui auront révélé un secret à eux confié en vertu de leur profession ou dont ils avaient eu connaissance dans l'exercice de celle-ci, seront, sur plainte, punis d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

Seront punis de la même peine les étudiants qui auront révélé un secret dont ils avaient eu connaissance à l'occasion de leurs études.

La révélation demeure punissable alors même que le détenteur du secret n'exerce plus sa profession ou qu'il a achevé ses études.

^2. La révélation ne sera pas punissable si elle a été faite avec le consentement de l'intéressé ou si, sur la proposition du détenteur du secret, l'autorité supérieure ou l'autorité de surveillance l'a autorisée par écrit.

^3. Demeurent réservées les dispositions de la législation fédérale et cantonale statuant un droit d'aviser une autorité et de collaborer, une obligation de renseigner une autorité ou une obligation de témoigner en justice.

Je confirme par les présentes avoir pris connaissance des obligations précitées et m'engage à les respecter.

_______________________________________ ___________________________

Lieu, date Prénom et nom en majuscule

_______________________________________

Adresse privée

_______________________________________

Société et adresse de celle-ci

_______________________________________

Signature

3. Annexe C3 – Protocole de recette (modèle)

   1. Objet de la recette

………………………………………….…….……………………………………………………………………

2. Type de recette

Recette partielle ou ou Recette complète

Recette initiale ou Renouvellement (après échec de la recette initiale)

3. Type de recette, tests et révision

………………………………………….…….……………………………………………………………………

4. Résultats à recueillir

………………………………………….…….……………………………………………………………………

5. Critères de la recette / tests effectués

………………………………………….…….……………………………………………………………………

6. Personnes présentes

   Prénom et nom Organisation Fonction

7. Résultats de la recette

   1. Recette réalisée avec succès

La recette s’est déroulée avec succès

La recette a échoué et sera renouvelée le ……………………………….…..

La recette s’est déroulée avec succès, mais les défauts suivants ont été constatés, avec à chaque fois leur délai de réparation (sans renouvellement de la recette).

2. Défauts constatés

Description du défaut Classification Délai de réparation

Toute divergence sur la capacité d’effectuer la recette, la classification des défauts, la responsabilité et les délais pour réparer les défauts sont mentionnés ici :

………………………………………….…….……………………………………………………………………

………………………………………….…….……………………………………………………………………

Signatures

Date et lieu

……………………………..……………… …………..………….……..……………….

Nom et fonction

………………………………………….…….……………………………………………………………………

………………………………………….…….……………………………………………………………………

Signatures

……………………………..……………… …………..………….……..……………….

4. Annexe C4 – Liste des logiciels utilisés

[à créer individuellement]

5. Annexe C5 – Sous-traitants autorisés

Liste des sous-traitants du fournisseur autorisés :

Nom	Adresse	[cas échéant : restriction à n’effectuer que certains services ou types de services]
[à compléter individuellement]	[à compléter individuellement]	[à compléter individuellement]

6. Annexe C6 – Contrat de sous-traitance des données

[à compléter individuellement, si un tel contrat est souhaité par le client.]

7. Annexe C7 – Concept de sauvegarde des données

[à compléter individuellement]

8. Contrat de services

1. Obligations du fournisseur

1. Catalogue de services et SLA

L’étendue et la qualité des services exécutés par le fournisseur sont définies par les critères de l'Annexe S1 – Catalogue de services et SLA.

2. Utilisation des services

[à compléter individuellement ; Descriptif général des droits d’utilisation (licence), avec référence aux droits d’accès de l'Annexe S1 – Catalogue de services et SLA. Cas échéant, le fournisseur cédera et aménagera également un droit d’accès direct à des tiers (en particulier les propres clients du client) dans le cadre de certains services prédéfinis (p. ex. pour la gestion des dossiers, le suivi des coûts lié à un mandat, etc.)].

3. Développements ultérieurs

[à compléter individuellement : Descriptif de la manière dont seront traités les développements ultérieurs (p. ex. actualisation des versions, obligation d’utiliser la version la plus récente, droits d'auteur sur les développements ultérieurs du client). Le traitement de développements ultérieurs individuels peut être décrit ici ou dans un contrat de projet distinct, selon le modèle de « Contrat de projet individuel (modèle) ».]

18. Rémunération

Les services sont rémunérés conformément à l'Annexe C1 – Rémunération.

19. Obligations du client

[cas échéant, à compléter individuellement : En principe, le client n’a pas d’obligations particulières si ce n’est de maintenir son infrastructure informatique à un standard minimum (p. ex. connexion Internet suffisante, navigateur à jour). Pour certains services, des licences tierces seront peut-être nécessaires (p. ex. certaines plates-formes) ; elles sont également répertoriées ici)]

20. Entrée en vigueur et durée

[à compléter individuellement]

9. Annexe S1 – Catalogue de services et SLA

[à établir individuellement, en incluant notamment les points suivants :

• Catalogue et étendue des services
  Services et leurs fonctionnalités, éventuellement interfaces avec des logiciels tiers

• Heures d’exploitation et de service

• Droits d’accès :
  Par utilisateur, appareil, emplacement, etc.

• Centre d’assistance et de maintenance (y compris assistance téléphonique, tickets informatiques, etc.)

• Service Levels, en particulier :
  Disponibilité, temps d'indisponibilité maximum, largeur des bandes passantes, temps de réponse du système, temps de réponse de l'assistance, le tout par rapport à des critères prédéfinis

• Horaire du centre d’assistance

• Points de transfert pour la transmission des services, vitesse de connexion requise, etc.

• Pénalités si les niveaux de service convenus ne sont pas atteints, droits de résiliation si certains niveaux de service sont insuffisants

• Services supplémentaires sur site (tels que l'installation et la maintenance de composants matériels et logiciels)]

10. Contrat de projet individuel (modèle)

[Commentaire : Ce modèle peut être utilisé pour les projets individuellement développés par les parties, tels que la migration initiale vers le service du fournisseur, les développements futurs, la migration vers un autre fournisseur lors de la résiliation du contrat, etc.]

1. Obligations du fournisseur

Dans le cadre de ce contrat de projet, le fournisseur exécute les services suivants :

[à compléter individuellement]

22. Échéancier

L’Annexe P1 – Jalons du projet et plan de paiement prévoit un échéancier.

23. Responsabilités

Les responsabilités pour ce contrat de projet sont définies comme suit :

[à compléter individuellement, p. ex. sous la forme d’une matrice RACI :

Classification :

• Responsible – C’est le responsable de la mise en œuvre effective. Il s’agit de la personne qui réalise le projet, personnellement ou par le biais d’autres personnes.

• Accountable – C’est le responsable des coûts, aux fonctions d’approbation et de signature. Il s’agit de la personne qui endosse une responsabilité légale ou commerciale.

• Consulted – C’est la personne que l’on consulte. Elle n’est donc pas directement impliquée dans la mise en œuvre, mais reste l’un des acteurs majeurs du projet, puisqu’elle détient les informations nécessaires pour répondre aux questions.

• Informed – Il s’agit de la personne qui est informée de l’évolution du projet et des résultats obtenus. Cas échéant, elle peut aussi être autorisée à délivrer des informations.

Élément	Compétence
	Fournisseur	Client
…	…	…
…	…	…
…	…	…

24. Obligations du client

[à compléter individuellement]

25. Recette informatique des services proposés

    1. Processus et critères

[à compléter individuellement]

2. Protocole

Les parties utilisent le modèle qui figure à l'Annexe C3 – Protocole de recette (modèle).

26. Rémunération

    1. Jalons et plan de paiement

À chaque fois qu’un jalon est atteint, la rémunération est versée conformément aux dispositions du contrat-cadre et selon le plan de paiement qui figure à l'Annexe P1 – Jalons du projet et plan de paiement.

2. Retenue de garantie

Pour les services prévus par le projet, la dernière tranche de paiement s’élève à [p. ex. 10 %] de la rémunération totale. Ce montant correspond à une retenue de garantie exigible ... [p. ex. 6] mois après la recette totale des services, à condition de n’avoir à ce moment aucune prétention de garantie en suspens. Dans le cas contraire, le client peut conserver cette retenue jusqu'à l'élimination définitive du défaut. En cas de désaccord sur le montant de la retenue et son éventuel maintien, il est possible d’effectuer un dépôt selon le chiff. 9.1.3.

11. Annexe P1 – Jalons du projet et plan de paiement

    1. Plan de projet

[à compléter individuellement]

2. Jalons du projet et plan de paiement

Jalons	Délais	Rémunération (après déduction de la retenue de garantie conformément au ch. 6.2 du contrat de projet)
[à compléter individuellement]	[à compléter individuellement]	[à compléter individuellement]
Paiement du montant qui avait été retenu en garantie	Selon le ch. 6.2 du projet de contrat

Les délais qui ont été reportés automatiquement sont marqués d'un *.

Les services facturés à l'heure sont calculés au tarif maximum spécifié à l'Annexe C1 – Rémunération.

29  46