New release : CTI Report - Pharmaceutical and drug manufacturing 

                 Download now

Conditions générales de vente

  1. Conditions générales de Vente

     Service

    Le Contrat est formé des documents contractuels suivants, présentés par ordre hiérarchique de valeur juridique décroissante :

    • La proposition technique et financière, 
    • Nos présentes Conditions Générales de Ventes.
    • Bon(s) de commande 

    En cas de contradiction entre une et/ou plusieurs dispositions figurant dans l’un quelconque de ces documents, le document de rang supérieur prévaudra.

    ARTICLE 1 – OBJET :

    L’objet des présentes Conditions Générales de Vente est de définir les conditions contractuelles dans lesquelles le Prestataire fournit au Client les Prestations décrites au sein de la Proposition technique et financière acceptée par le Client.

    Toute commande ferme et acceptée par le Prestataire implique pour le Client l’adhésion sans réserve aux présentes Conditions Générales de Vente nonobstant toutes clauses et stipulations contraires figurant notamment sur la correspondance ou tout autre document du Client, sauf dérogation expresse acceptée par écrit par le Prestataire.

    ARTICLE 2 – ENTREE EN VIGUEUR DUREE :

    Les Conditions générales de vente entrent en vigueur à la date de signature par les parties. Il est conclu pour une durée initiale déterminé dans le Proposition technique et financière ou le Bon de commande

    En l’absence de dénonciation de ces Conditions un (1) mois avant la fin de la durée initiale, celles-ci seront tacitement reconduit dans les mêmes termes. 

    ARTICLE 3 – CONDITION FINANCIERES :

    La rémunération du Prestataire est fixée comme indiqué dans l’Annexe « Proposition technique et financière ». Les prix stipulés sont fermes, forfaitaires et définitifs pour le périmètre des Services prévus au Contrat. La rémunération s’entend en euros hors taxes. Les prix sont majorés de la TVA au taux en vigueur au jour de la facturation. Les prix s’entendent tous frais compris, y compris ceux liés aux personnels affectés à la réalisation des Services. Le paiement devra intervenir au lieu du siège social du Prestataire. Tout paiement effectué à l’ordre de représentants ou agents le Prestataire n’a pas un caractère libératoire. Sauf stipulation contraire :

    • La facturation se fait en une fois après la réception par le Prestataire du bon de commande
    • Les factures sont payables à trente (30) jours nets, date facture ;
    • Sans préjudice de tous autres droits et recours de Prestataire, les sommes impayées par le Client à leur échéance donnent lieu à l’application d’intérêts de retard de trois fois le taux d’intérêt légal et d’une indemnité forfaitaire de 40 euros pour les frais de recouvrement ;

    En cas de non-respect par le Client d’une des échéances de paiement, le Prestataire laissera un délai de quinze (15) jours ouvrés au Client à compter de la date d’échéance de la facture pour s’en acquitter. A l’expiration de ce délai, sans préjudice de ses autres droits, le Prestataire se réserve le droit de mettre en demeure le Client de satisfaire à son obligation de paiement par lettre recommandée avec accusé de réception. Au terme de ce délai, le Prestataire pourra également suspendre l’exécution des Prestations, résilier le Contrat de plein droit, exiger la restitution de tout matériel, logiciel, donnée, document ou fichier mis à disposition du Client dans le cadre de l’exécution du Contrat et dont le Prestataire aurait gardé la propriété, jusqu’à exécution par ce dernier de la totalité de ses engagements. A ce titre, le Prestataire ne saurait être tenue responsable des préjudices que subirait le Client.

    Toute commande entraîne acceptation pleine et entière de la présente clause.

    ARTICLE 4 – OBLIGATIONS DU CLIENT :

    Le Client est soumis à une obligation de collaboration, à ce titre le Client devra : 

    • Transmettre toute information et document nécessaire à la réalisation des Services, de sa propre initiative ou sous demande expresse du Prestataire, sous réserve de leur disponibilité et de leur confidentialité au regard de l’objet du Contrat ;

    Le Client est informé, et accepte, que l’ajout, en cours de Contrat, de matériels ou de logiciels à son système d’information peut entraîner une modification de la nature des Prestations, de leur périmètre et/ou de leur coût. Le Client a déterminé, sous sa propre responsabilité ou avec l’assistance de ses conseils, ses propres objectifs, ainsi que l’adéquation des Prestations à ces derniers. Il lui appartient en particulier de veiller à : 

    • Disposer du personnel qualifié ; 
    • Si les Prestations le prévoit, assisté à l’ensemble des comités de suivi, et signé ou justifié de l’absence de signature des procès-verbaux de recette 
    • Mettre à disposition du Prestataire toutes les informations, documents et moyens nécessaires à la bonne exécution des Prestations, et informer immédiatement le Prestataire de tout événement pouvant entraver, empêcher ou retarder la réalisation des Prestations. 
    • Garantir  au Prestataire qu’il détient l’ensemble des droits de propriété et d’accès ou avoir recueilli l’accord des éventuels tiers dont les systèmes d’information entrent dans le périmètre de la Prestation. 

    En outre, dans le cas de Prestations de type « tests d’intrusion » et « audits de sécurité » le Client garantit au Prestataire avoir pris toutes les mesures de sécurité nécessaires de nature à éviter la survenance d’un incident sur les éléments entrant dans le périmètre des Prestations (tel que l’altération, l’indisponibilité ou la perte des données). En particulier, le Client garantit à le Prestataire avoir réalisé toutes les sauvegardes nécessaires des données et des configurations des logiciels.

    ARTICLE 5 – OBLIGATION DU PRESTATAIRE 

    Sauf stipulation contraire, le Prestataire s’engage à une obligation de moyens. Nonobstant ce qui précède, les obligations suivantes constituent pour le Prestataire des obligations de résultat : 

    • la réalisation des Prestations ; 
    • la fourniture des Livrables définis comme tels ; 
    • le respect des conditions financières convenues par les Parties ; 
    • le respect de son obligation de confidentialité telle que stipulée à l’article « Confidentialité » 

    Le Prestataire est également soumis à une obligation d’information, de conseil et de mise en garde relative à l’objet des Conditions générales de vente. A ce titre, le Prestataire devra :

    • Demander tout renseignement ou information qu’il jugerait nécessaire à l’exécution du Contrat, s’assurer que les informations transmises répondent à sa demande ;
    • Notifier au Client, dès qu’il en aura connaissance, tout élément, événement ou acte susceptible d’affecter la bonne exécution du Contrat, prendre toutes mesures utiles en son pouvoir pour y remédier et suivre l’application de ces mesures

    En outre, le Prestataire s’engage à réaliser les Prestations dans le respect strict de la réglementation applicable et de l’état de l’art. En particulier, le Prestataire doit mettre en place toutes les mesures de sécurité techniques et organisationnelles appropriées en vue de réaliser les Prestations de manière sécurisée. 

    Dans le cas de Prestations de type « tests d’intrusion » et « audits de sécurité », le Prestataire garantit le Client que ces Prestations excluent toute opération d’ingénierie sociale et d’évaluation de la disponibilité des éléments composant les éléments du système d’information du Client (telle qu’une opération de type « attaque DDoS »). Nonobstant ce qui précède, le Client est informé et accepte que les Prestations peuvent impliquent des opérations d’accès et de maintien dans son système d’information. 

    Dans le cas de prestations de type « RedTeam » ou « Threat Hunting » , le Client est informé et accepte que les Prestations impliquent des opérations d’introduction et de maintien dans son système d’information (et notamment des tentatives de hameçonnage), d’ingénierie sociale et d’intrusion physique dans ses locaux. Le Prestataire garantit au Client que ces opérations ne revêtent aucun caractère frauduleux et sont effectuées par des préposés qualifiés, disposant de l’expérience nécessaire, identifiés et autorisés. De plus, le Prestataire s’interdit tout usage illicite, à son profit ou au profit de tiers, des failles de sécurité découvertes pendant la réalisation des Prestations. Dans le cas de prestations de type assistance technique, le Prestataire est seul responsable de la définition du type de profil requis et de la désignation du nombre de membres de l’équipe affectés à l’exécution des Prestations. L’ensemble du personnel du Personnel affecté en tout ou partie à la réalisation des Prestations reste, en toutes circonstances, sous la seule autorité hiérarchique et disciplinaire du Prestataire qui en assure seul la gestion administrative et sociale. 

    ARTICLE 6 – USAGE PROMOTIONNEL DES MARQUES ET LOGO DU CLIENT 

    Sauf refus explicite de la part du Client, le Prestataire pourra faire usage dans sa communication promotionnelle ou institutionnelle de référence au Client (notamment logo, nom commercial, marques, existence du Contrat, etc.). Le Prestataire s’engage à ce qu’aucune précision ne soit donnée sur les actions effectivement réalisées au cours de l’exécution des Prestations, et à respecter la charte graphique et toutes conditions qui lui auront été communiquées. Cette autorisation d’usage de la marque et du logo se poursuivra après le terme des Conditions Générales de vente pour une durée de cinq ans.

    ARTICLE 7 – RESPONSABILITE :

    Il est expressément convenu entre les Parties que le Prestataire sera responsable de tous les dommages directs, matériels et immatériels, causés au Client, résultant d’un retard ou d’une inexécution de ses obligations contractuelles telles que définies au Contrat. Le Prestataire n’est pas responsable des dommages indirects.  

    • La responsabilité contractuelle du Prestataire est limitée, par fait générateur (tous dommages directs confondus), à une (1) fois le montant total H.T. du Contrat.

    Cette limitation de responsabilité n’est pas applicable aux dommages corporels, ni aux dommages résultant d’une faute lourde ou intentionnelle ou d’une action relative à la propriété intellectuelle ou à concernant la protection des Données personnelles, ainsi qu’aux autres cas habituellement retenus par la loi et les tribunaux.

    ARTICLE 8 – PENALITE 

     Le Client reconnaît que le décalage du démarrage des Prestations cause un dommage au Prestataire. Dans ces conditions, si le Client décide de décaler le démarrage des Prestations moins de trente (30) jours calendaires avant la date prévue, il s’engage à payer une pénalité de cinquante (50) pour cent du montant total du Contrat HT. 

    Dans le cas où la Prestation ne peut pas débuter les Prestations à la date prévue parce que le Client n’a pas fourni l’ensemble des informations et/ou données nécessaire à la réalisation de celles-ci dans un temps suffisant. Le Prestataire sera également en droit d’appliquer la pénalité.  

    ARTICLE 9 – REGLEMENTATION EN MATIERE DE DROIT DU TRAVAIL

    Le Prestataire déclare respecter les dispositions des articles L. 8221-1 et suivants du Code du travail sur le travail dissimulé et les dispositions des articles L. 8251-1 et suivants du Code du travail sur les travailleurs étrangers, relativement aux personnes qu’il emploie.  Par conséquent, Prestataire s’engage à respecter et faire respecter par ses sous-traitants éventuels les règles de droit du travail applicable dans le lieu d’exécution des Prestations. Le Prestataire s’oblige notamment à ne pas recourir à de la main d’œuvre clandestine.

    En outre, Prestataire certifie que lui-même ou ses fournisseurs et/ou sous-traitants n’ont pas recours à de la main d’œuvre infantile ou à tout autre type de main d’œuvre en violation des principes fondamentaux admis par l’Organisation Internationale du Travail. 

    ARTICLE 10 – ASSURANCE RESPONSABILITE CIVILE PROFESSIONNELLE :

    Le Prestataire déclare être assuré en responsabilité civile, d’exploitation et professionnelle, de manière à couvrir les conséquences pécuniaires pour le Client des dommages corporels, matériels et immatériels, consécutifs ou non dont le Prestataire aurait à répondre, causés par tout événement du fait du Prestataire et qui seraient notamment le fait de ses collaborateurs ou sous-traitants éventuels lors de l’exécution des Services, objet du Contrat.

    Cette assurance a été souscrite auprès d’une compagnie d’assurance notoirement solvable et, sur demande du Client, une attestation de la police souscrite et des justificatifs de renouvellement à chaque date anniversaire de la souscription de la police devront être fournis.

    Une telle assurance doit être maintenue pendant toute la durée du Contrat.

    En cas de modification de tout ou partie de ses polices d’assurance qui ne serait pas imputable au Prestataire, ce dernier s’engage à prendre toutes les dispositions nécessaires, à ses frais, pour assurer sans aucune interruption la couverture telle qu’elle est précisée dans son attestation et fournir une nouvelle attestation au Client.

    Si le Prestataire ne peut plus, pour des raisons indépendantes de sa volonté, être couvert par une police d’assurance, il s’engage à avertir immédiatement le Client dès qu’il a connaissance de ce fait. Le Client pourrait alors de plein droit se prévaloir de l’application de l’article « Résiliation » ci-après, pour mettre fin immédiatement au Contrat.

    ARTICLE 11 – CONFIDENTIALITE :

    Il est convenu entre les Parties que les informations écrites ou orales obtenues de l’autre Partie à l’occasion de la négociation et l’exécution du Contrat sont des informations confidentielles. Les Parties s’engagent à prendre toutes les mesures nécessaires à la protection de la confidentialité de ces informations.

    Sont notamment considérées comme confidentielles, les informations afférentes au Contrat et aux Prestations et/ou données de nature scientifique, technique, technologique, commerciale, sociale, financière, juridique ou de toute autre nature que ce soit, brevetable ou non, telle que notamment mais non exclusivement des plans, des dessins, des spécifications, des procédés, du savoir-faire, du design, des méthodes, des études, des volumes des besoins, des logiciels ou progiciels d’ordinateurs, aux prospects, des noms de Clients ou de partenaires communiquées directement ou indirectement à l’autre Partie, sous quelque forme, sur quelque support, et de quelque manière que ce soit notamment par oral, par écrit, sous forme de documents imprimés ou informatiques, sous forme électronique, sous forme d’échantillons ou de modèles, ou sous forme de données visuelles (ci-après dénommées ensemble les « Informations Confidentielles »).

    Le caractère confidentiel de ces informations et/ou données sera, autant que possible :

    • Matérialisé par des mentions appropriées sur leurs supports de communication ; 
    • Rappelé, par tous moyens, au moment de chaque communication, ainsi que la date de cette communication et la référence aux Conditions générales.

    Il est néanmoins précisé que l’absence de telles mentions et/ou de tels rappels à l’occasion de la communication par l’une des Parties des Informations Confidentielles n’aura aucune incidence sur leur qualification d’Informations Confidentielles et sur les obligations mises à la charge de l’autre Partie liées à leur traitement suivant les modalités définies par les présentes stipulations.

    • Chaque Partie s’engage à n’utiliser les Informations Confidentielles de l’autre Partie qu’en vue de la réalisation des objectifs prévus par les Conditions générales.
    • Chaque Partie s’engage à ne pas reproduire, ni représenter, ni divulguer ces informations à des personnes autres que ses employés ayant besoin d’en connaître afin de réaliser les objectifs prévus par les Conditions générales de vente, sauf accord préalable et écrit de l’autre Partie.
    • Chaque Partie s’engage à faire respecter par ses employés la présente clause.
    • Chacune des Parties s’engage à prendre toutes les mesures nécessaires en vue de la protection des Informations Confidentielles de l’autre Partie, et s’interdit d’en faire toute reproduction, représentation ou divulgation à des tiers sauf accord préalable écrit de l’autre Partie. Par tiers, on entend toute personne physique ou morale autre que le Prestataire ou le Client.
    • Chaque Partie conserve la propriété pleine et entière des Informations Confidentielles qu’elle communique à l’autre Partie dans le cadre des Conditions générales de vente.

    La présente clause ne saurait en aucune façon être interprété comme conférant à la Partie qui reçoit les Informations Confidentielles un droit quelconque (aux termes d’une licence ou par tout autre moyen) sur tout ou partie de ces Informations.

    • Chaque Partie s’engage à n’acquérir aucun droit de propriété industrielle et/ou intellectuelle sur la base des Informations Confidentielles reçues de l’autre Partie.

    En cas de sensibilité particulière de certaines de ces informations, un accord de confidentialité pourra être conclu entre le Client et le Prestataire, dans lequel figurera notamment le détail des mesures visées à l’alinéa 1 du présent article. Les stipulations de cet accord de confidentialité prévaudront sur celles du présent article.

    • Chacune des Parties s’engage à respecter les obligations résultant du présent article pendant toute la durée du présent Contrat ainsi que pendant les cinq (5) années suivant son expiration.

    Le Prestataire s’engage également à appliquer ces engagements de confidentialité à tous ses sous-traitants intervenant sur la durée du Contrat.

    ARTICLE 12 – PROPRIETE INTELLECTUELLE :

    Le Prestataire cède au Client, au fur et à mesure de leur livraison complète et définitive, les droits patrimoniaux qu’il détient sur tout Livrable défini comme tel entre les Parties, produit dans le cadre du Contrat au seul bénéfice du Client. Cette cession est consentie à titre exclusif et non-cessible, pour le monde entier, et pour toute la durée légale de protection des droits de propriété intellectuelle afférents aux Livrables. Les Parties ont convenu que le prix de la cession est compris dans le prix mensuel des Services.

    Les droits cédés comprennent notamment :

    • Le droit de reproduire ou de faire reproduire les Livrables, sans limitation de nombre, en tout ou en partie, par tous moyens et procédés tant actuels que futurs, connus ou inconnus ; sur tous supports et tous matériaux tant actuels que futurs, connus ou inconnus, et notamment sur support papier ou dérivé, plastique, numérique, magnétique, électronique ou informatique, par téléchargement, vidéogramme, CD-Rom, CD-I, DVD, disque, disquette, réseau ;
    • Le droit de représenter ou de faire représenter les Livrables, par tous moyens de diffusion et de communication actuels ou futurs, connus ou inconnus, notamment par tout réseau de télécommunication on-line, tel que Internet, intranet, réseau de télévision numérique, transmission par voie hertzienne, par satellite, par câble, wap, système télématique interactif, par téléchargement, télétransmission, réseaux de téléphonie avec ou sans fil ;
    • Le droit d’adapter, modifier, transformer, faire évoluer, en tout ou en partie, les Livrables, de les enregistrer, de les stocker, de les archiver, de les faire évoluer, de les numériser, sous toute forme, modifiée, amputée, condensée, étendue, d’en intégrer tout ou partie vers ou dans des œuvres existantes ou à venir, et ce sur tout support papier, numérique, magnétique ou optique et notamment Internet, disque, disquette, bande, CD-Rom, listing ;
    • Le droit de traduire ou de faire traduire les Livrables, en tout ou en partie, en toute langue, et de reproduire les Livrables en résultant sur tout support, papier, numérique, magnétique, optique ou électronique, et notamment sur Internet, disque, disquette, bande, CD-Rom, listing ;
    • Le droit de faire usage les Livrables, pour les seuls besoins de ses activités propres exclusivement et pour la préservation ou la défense de ses intérêts légitimes.

    Nonobstant ce qui précède, les droits cédés excluent expressément les droits de mettre sur le marché, de distribuer, de commercialiser, de diffuser les Livrables, ou d’exploiter les Données, par tous moyens, y compris la vente, la location et le prêt, à titre gratuit ou onéreux. Par exception le Client peut diffuser les livrables à tout tiers qui aurait besoin d’en connaitre pour la protection de système d’information, ainsi qu’à tout tiers qui aurait besoin d’en connaitre pour le respect par le Client d’un obligation réglementaire ou légale. 

    En contrepartie et à compter du moment du transfert des droits de propriété intellectuelle de chaque Livrable, le Client autorise le Prestataire à utiliser les Livrables, à titre exclusif, non-cessible, pour le monde entier, sur tout support et par tout moyen, pour toute la durée du Contrat et aux seules fins de réalisation des Services.

    ARTICLE 13 – GARANTIE D’EVICTION 

     Le Prestataire garantit qu’il détient l’intégralité des droits relatifs aux Livrables, notamment les droits de propriété intellectuelle. Le Prestataire garantit que les livrables ne constituent pas une contrefaçon, et que la présente cession ne porte pas atteinte aux droits de tiers, quels qu’ils soient. Dans ces conditions, le Prestataire garantit au Client la jouissance paisible des Livrables contre tout trouble, revendication ou éviction quelconque contre toute action en contrefaçon et/ou concurrence déloyale ou parasitaire y relative. 

    Le Prestataire ne sera pas tenu par la présente garantie si : 

    • Le Client n’a pas notifié temps nécessaire le Prestataire, de l’existence une telle allégation, action ou revendication en lui communiquant l’ensemble des informations, renseignements, documentation en sa possession relatifs à ladite allégation, action ou revendication, pour lui permettre d’intervenir dans toute procédure judiciaire ou arbitrale éventuelle et afin d’apporter l’assistance nécessaire au Client.  
    • L’allégation, action ou revendication porte sur tout ou partie d’un Livrable modifié par le Client sans l’autorisation préalable écrite du Prestataire 
    • Le Client a fait une utilisation non conforme à l’objet de ce Contrat des Livrables. 

    Dans le cas où une interdiction d’utilisation d’une ou plusieurs Livrables serait prononcée à la suite d’une action en justice ou résulterait d’une transaction, le Prestataire s’engage, sans préjudice de tous dommages et intérêts que le Client serait fondé à réclamer au Prestataire, à :

    • obtenir, à ses frais, le droit pour le Client de continuer à exploiter l’élément incriminé, sans limitation et sans paiement par le Client d’une quelconque somme à quelque titre que ce soit ; ou
    • à défaut, modifier ou remplacer, à ses frais, l’élément incriminé de telle sorte qu’il cesse de tomber sous le coup de la réclamation, étant entendu qu’une telle modification ou qu’un tel remplacement ne devra pas porter atteinte aux caractéristiques et performances de l’élément incriminé ; ou
    • sous réserve pour le Prestataire de démontrer l’impossibilité de mettre en œuvre l’une ou l’autre des solutions visées ci-dessus, rembourser au Client à première demande l’intégralité des sommes perçues en contrepartie de l’achat par le Client de l’élément incriminé et de toute prestation associée.

    ARTICLE 14 – RESILIATION :

    • ARTICLE 14.1 – RESILIATION POUR MANQUEMENT :

    En cas de manquement de l’une des Parties à ses obligations contractuelles, la Partie lésée lui enverra un courrier recommandé avec avis de réception la mettant en demeure d’y remédier dans un délai de trente (30) jours ouvrés à compter de la réception dudit courrier.  Au-delà de ce délai, si la Partie défaillante n’a pas remédié à son manquement, la Partie lésée pourra résilier le Contrat de plein droit par l’envoi d’une nouvelle lettre recommandée avec accusé de réception, sans qu’aucune indemnité ne soit due à la Partie défaillante, et sans préjudice de tous dommages et intérêts auxquels elle pourrait prétendre.

    Nonobstant ce qui précède, si le Client résilie le présent Contrat pour manquement aux obligations contractuelles du Prestataire, le Client devra payer le solde restant dû des licences acheter par le Client auprès du Prestataire. 

    La réception de ladite lettre déclenchera automatiquement la procédure de Réversibilité prévue au Contrat. Si les services le demande, la résiliation prend effet à la signature du procès-verbal de la phase de Réversibilité.

    • ARTICLE 14.2 – RÉSILIATION SANS FAUTE :

    Chacune des Parties pourra également de plein droit résilier le Contrat par lettre recommandée avec avis de réception, sans mise en demeure préalable ni préavis et sans qu’aucune indemnité ne soit due à l’autre Partie dans les cas suivants :

    • Dépôt de bilan de l’autre Partie, à moins que l’administrateur judiciaire ne décide dans les délais fixés par la loi de la continuation du Contrat ;
    • Changement de contrôle (au sens de l’article L. 233-3 du Code de commerce) de l’autre Partie qui viendrait à être détenue directement ou indirectement par un concurrent de la Partie invoquant la résiliation ;
    • Non-exécution du Contrat par l’autre Partie, pendant une période de plus de trente (30) jours calendaires, du fait d’un cas de force majeure, au cours de l’exécution du Contrat.
    • ARTICLE 14.2 – RÉSILIATION :

    Préavis de non-renouvellement / cessation

    Le Client s’engage à notifier par écrit au Prestataire son intention de ne pas renouveler le Contrat (ou de cesser les Services à l’échéance) au moins deux (2) mois avant la Date d’Échéance.

    À défaut de respect de ce préavis minimal, la date effective de cessation des Services sera automatiquement reportée afin de couvrir un délai de préavis complet de deux (2) mois à compter de la réception de la notification par le Prestataire, sauf accord écrit contraire des Parties. Les redevances applicables pendant cette période demeurent dues.

    Réversibilité – durée et périmètre

    À la cessation des Services, quelle qu’en soit la cause, le Prestataire met en œuvre une phase de réversibilité d’une durée minimale d’un (1) mois à compter de la date effective de cessation, afin de permettre au Client d’assurer la continuité de ses opérations SOC avec un tiers ou en interne.

    La réversibilité couvre a minima :

    L’élaboration et l’exécution d’un plan de réversibilité incluant gouvernance, planning et dépendances.

    Le transfert de connaissances (sessions de handover, runbooks, playbooks, matrices d’escalade).

    Toute prestation de réversibilité additionnelle demandée par le Client au-delà du périmètre ci-dessus fera l’objet d’une validation écrite (ordre de service et d’une facturation complémentaire selon les conditions financières définies ci-après.

    Conditions financières de la réversibilité

    Le Client s’engage à verser au Prestataire, au titre de la réversibilité, un forfait minimal équivalant à un (1) mois de services, calculé sur la base de la moyenne des redevances mensuelles récurrentes facturées au cours des trois (3) derniers mois (hors usages variables, frais de tiers et remises exceptionnelles).

    Les frais et coûts externes (licences tierces, stockage temporaire, transport de supports, coursiers, etc.) engagés pour les besoins de la réversibilité sont refacturés au réel.

    Le forfait de réversibilité est exigible à la date de début de la phase de réversibilité, indépendamment du fait que le Client décide ou non d’utiliser tout ou partie des prestations de réversibilité. [Option à discuter: en cas de résiliation pour faute grave et exclusive du Prestataire, ce forfait peut ne pas être facturé.]

    Niveaux de service durant la réversibilité

    Sauf accord contraire, les niveaux de service (SLA) applicables aux Services SOC demeurent applicables pendant la période de réversibilité, dans la mesure compatible avec les opérations de bascule et de désengagement validées par les Parties.

    Obligations de coopération du Client

    Le Client met à disposition en temps utile les ressources, accès techniques, informations, référents et validations nécessaires à la bonne exécution de la réversibilité.

    Le Client garantit la disponibilité de son prestataire repreneur (le cas échéant) et la conformité de ses environnements techniques avec les prérequis communiqués par le Prestataire.

    Données, sécurité et conformité

    Sur instruction du Client, le Prestataire procède à la suppression sécurisée des données résiduelles et remet une attestation de suppression. Les obligations de confidentialité demeurent en vigueur après la cessation du Contrat.

    Les traitements de données à caractère personnel réalisés dans le cadre de la réversibilité s’effectuent dans les mêmes conditions de protection des données que celles applicables pendant l’exécution du Contrat.

    Effet non-respect du préavis

    Le non-respect le Client du préavis minimal de deux (2) mois’affecte pas l’exigibilité du forfait de réversibilité prévu à l’article 3 et peut entraîner la prolongation des Services jusqu’à l’achèvement d’un préavis complet, avec facturation des redevances correspondantes.

    Hiérarchie et cohérence

    La présente clause prévaut sur toute stipulation contraire relative au préavis de non-renouvellement et à la réversibilité figurant ailleurs dans le Contrat, à moins d’un avenant exprès. 

    ARTICLE 15 – CESSION DE CONTRAT :

    Les Parties conviennent que le Contrat a été conclu intuitu personae. Par conséquent, aucune des Parties ne pourra céder le Contrat, en tout ou partie, à un tiers sans l’accord préalable et écrit de l’autre Partie, notamment en cas de changement de contrôle (au sens des articles L. 233-1 et L. 233-3 du Code de commerce) ou apport partiel d’actifs. 

    Le manquement d’une Partie aux obligations issues du présent article autorise l’autre Partie à résilier le Contrat, par l’envoi d’une lettre recommandée avec accusé de réception, et sans qu’aucune indemnité ne soit due à la Partie fautive.

    ARTICLE 16 – OPTION CYBER THREAT INTELLIGENCE 

     Si dans le cadre de ses Prestations  le Client a également souscrit à une option CTI il est informé que lors de la réalisation de cette option, les robots du Prestataire peuvent être amenés à consulter incidemment des sites à caractère pédopornographique ou discriminatoire, incitant à la violence, au terrorisme, aux crimes contre l’humanité ou à l’atteinte à la dignité humaine, ou servant de plateforme au commerce d’armes, de drogues ou autres. 

    Le Client est informé que ces consultations relèvent dans tous les cas de l’action fortuite des robots participant à la réalisation des Services. En tout état de cause, le Prestataire s’engage à ne stocker aucun contenu illicite provenant de ce type de sites web. En revanche, le Prestataire respectera son obligation légale de signalement des contenus à caractère illicite auprès de la Gendarmerie nationale et de la Police via la plateforme PHAROS, s’il est amené à avoir connaissance d’un tel contenu concernant potentiellement une ou plusieurs des Données du Client listées dans la Proposition technique et financière.

    Le Client s’engage à n’entamer aucune action pouvant entraver ou empêcher l’exercice de cette obligation à la charge du Prestataire. 

    En outre, le Client accepte de ne pas être informé par le Prestataire si ce dernier doit procéder au signalement susmentionné. Dans le cadre de l’option CTI, le Prestataire est amené à réaliser des collectes permanentes d’informations en sources ouvertes sur le réseau internet à partir du Périmètre (mots clés et centre d’intérêt) de la prestation du Client, selon des méthodes et actions préalablement définies et régulièrement mises à jour, dans le strict respect des dispositions légales et réglementaires applicables. 

    Le Client est informé que cette phase de recherche et collecte de données est essentielle à l’exécution des Prestations. A cet effet, le Client autorise le Prestataire, pour la durée du Contrat, à accomplir pour son compte les actions suivantes, sans que cette liste soit limitative et à l’exception des actes expressément interdits et notamment les articles 323-1 et suivants du code pénal : 

    • accéder de manière ponctuelle et ciblée dans tout ou partie d’un espace de stockage ouvert et accessible sur Internet, 
    • reproduire, collecter et analyser les données relevant du périmètre à superviser, quelle que soit la nature ou le type de Données, conformément aux réglementations applicables à la protection desdites données. 

    Les opérations de collecte de données en sources ouvertes restent strictement en adéquation avec les objectifs du Contrat, et encadrées par des modalités d’accès et de stockage mises en œuvre par le Prestataire dans le respect des exigences de sécurité et de confidentialité. Toujours dans le cadre de l’option CTI, le Client garantit le Prestataire contre tout recours ou revendication qui pourrait lui être intenté du fait de l’utilisation des données ou des Livrables résultant de cette option, par le Client ou par un tiers, et qui serait non-conforme au Contrat, frauduleuse, illicite ou illégale. 

    Si l’option CTI est une prestation de levée de doute avancée ou toute prestation ponctuelle relevant d’une investigation numérique concernant une fuite de donnée redoutée ou avérée, le Prestataire se réserve le droit de la refuser s’il juge que les actions souhaitaient par le Client sont disproportionnée par rapport au risque encouru par le Client en raison de la fuite de donnée avérée ou redoutée. Le Client reconnaît qu’une levée de doute avancée ou toute prestation relevant d’une l’investigation numérique peuvent constituer des infractions pénales notamment les délits d’atteinte à un système de traitement automatisé, de recel de vol, d’atteinte à la protection du secret des affaires et que ces infractions peuvent être imputées à la fois au Client et au Prestataire. 

    A ce titre, et par dérogation à l’article Responsabilité, le Client s’engage à assumer toute responsabilité dans le cas d’un litige, judiciaire ou extra-judiciaire, concernant un des cas évoqués ci-dessus. A cet égard, en cas de litige judiciaire ou extrajudiciaire mettant en cause ou initié à l’encontre du Prestataire, le Client devra intervenir à l’action et supporter intégralement les frais de la défense du Prestataire (procédure, huissiers, avocats, etc.), ainsi que les indemnités qui résulteraient d’une éventuelle condamnation ou transaction. 

    ARTICLE 16 – DONNEES A CARACTERE PERSONNEL:

    • ARTICLE 16.1 – ENGAGEMENT DES PARTIES :

    Au sein du présent article les termes, « responsable de traitement » et  « sous-traitant »,  ont le sens donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »).

    A cet égard, il est expressément stipulé que le Client agit en qualité de responsable de traitement et le Prestataire de sous-traitant.

    A ce titre, le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable de traitement, et dans le cadre de la ou les finalités spécifiques du traitement, sauf instruction du responsable de traitement ou s’il est dans l’obligation de procéder au traitement en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis.

    Le sous-traitant met en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données à caractère personnel, contre la destruction, la perte, l’altération, la divulgation non autorisée des données. L’accès aux données à caractère personnel n’est donnée que personnel réalisant les traitements nécessaire à l’exécution des Prestations objet du présent Contrat, et le sous-traitant s’assure que le personnel autorisé à traiter les données s’engage à respecter leur confidentialité. 

    Les Parties doivent être en mesure de démontrer leur conformité avec le présent article. Le sous-traitant met à la disposition du responsable de traitement les informations nécessaires pour démontrer le respect des obligations décrites dans le présent article. Il permet au responsable de traitement de Le sous-traitant à la demande responsable de traitement permet la réalisation d’audits des activités de traitement dans la limite, d’une fois par an et sous réserve d’un délai de prévenance de trente (30) jours. Le responsable de traitement peut procéder lui-même à cet audit ou mander un auditeur indépendant. Dans le cas d’un auditeur indépendant, le sous-traitant à la faculté de s’opposer à celui-ci s’il exerce des activités économiques concurrentes à la sienne. 

    Les Parties s’engagent également à mettre à disposition de l’Autorité de contrôle compétente, les informations nécessaires y compris les résultats de tout audit. 

    Dans le cas ou le sous-traitant est autorisé à faire appel à un sous-traitant ultérieur pour les opérations de traitement, il veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu du RGPD. 

    Plus généralement le sous-traitant s’engage à respecter son obligation d’assistance. Il assiste notamment, le responsable de traitement à respecter son obligation de procéder à une analyse d’impact, son obligation de consulter l’autorité de contrôle si l’analyse d’impact indique que le traitement présente un risque élevé, ainsi que l’ensemble de obligation prévues à l’article 32 du RGPD. 

    En cas de violation de donnée à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD. 

    En cas de manquement du sous-traitant à ses obligations, le responsable de traitement peut ordonner au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier soit en conformité avec les présentes obligations. Le responsable de traitement est en droit de résilier le Contrat dans les conditions de l’article Résiliation pour faute si le sous-traitant ne s’est pas conformé à ses obligations.

    Si, après avoir été informé par le sous-traitant que ses instructions enfreignent ou sont contraires au RGPD, le responsable de traitement insiste pour que ces dites instructions, soient tout de même exécutées, le sous-traitant est en droit de résilier, le présent Contrat. 

    À la survenance du terme du Contrat, pour quelque cause que cela soit, le sous-traitant selon, le choix du responsable du traitement, supprime ou renvoie toutes les données à caractère personnel et certifie auprès de celui-ci qu’il a bien procédé à la suppression des données et de toutes les copies existantes. Le sous-traitant continue de veiller à sa conformité au présent article jusqu’à la suppression ou restitution des données.

    • ARTICLE 16.2 – DESCRIPTION DU TRAITEMENT 

    Personne concernées : les salariés, les prestataires, les clients du Client. 

    Données personnels traitées : les noms et prénoms, les noms d’utilisateurs (login) et mots de passe, les surnoms, les adresses mail, et les adresses IP. Le traitement ne donne pas lieu à un traitement de donnée sensible. 

    Nature du traitement : l’accès, l’analyse, la collecte, le stockage et la suppression des données. 

    Finalité du traitement : assurer le niveau de sécurité et l’absence d’anomalie technique sur le système d’information du traitement. 

    Durée du traitement : Le temps de la réalisation de la Prestation prévue au Contrat.  

    Pour la réalisation de ces prestations, le sous-traitant fait appel à des centres d’hébergement pour son matériel informatique. Ces sous-traitants vont stocker les données, pendant la durée de réalisation de la Prestation, ces sous-traitants se trouvent à l’article Liste des sous-traitants ultérieurs

    • ARTICLE 16.3 – MESURES TECHNIQUES ET ORGANISATIONNELLES

    Le sous-traitant met en place des mesures de sécurité techniques et organisationnelles parmi ces mesures :  

    Une procédure d’authentification et d’habilitation des utilisateurs : Les droits d’accès sont attribués à des comptes individuels auxquels sont attribués des profils adaptés aux besoins, selon le principe de moindre privilège. Les politiques de mot de passe suivent les recommandations de la CNIL. Les accès sont désactivés en cas de départ des collaborateurs ou changement de service et sont revus régulièrement.

    Un processus de minimisation des données : les résultats du traitement sont communiqués au CLIENT sous forme d’un rapport contenant des conclusions et statistiques en l’absence de toutes données brutes non anonymisées. 

    Divers mécanismes de chiffrement : lors du transport (lors des communications internes au SI, ainsi que lors de communications externes). Lors du stockage, les éléments les plus sensibles en termes de sécurité peuvent faire l’objet d’un chiffrement lors du stockage, au niveau de l’infrastructure, les volumes utilisés pour le stockage des sauvegardes font l’objet d’un chiffrement pour empêcher l’accès aux données par les administrateurs non concernés

     

    Sécurisation des échanges (protocole TLS ou autre) : les accès des clients aux systèmes se font à travers un tunnel HTTPS configuré à l’état de l’art. Les accès administratifs techniques et les échanges applicatifs au sein de l’infrastructure sont chiffrés en TLS (1.2 et 1.3) ou SSH. Les accès à distance sont effectués à travers un VPN IPSEC dédié.

     

    Sauvegarde : des sauvegardes quotidiennes du système d’information sont effectuées. Les volumes des sauvegardes sont chiffrés et nécessitent l’intervention d’un des responsables métiers pour déverrouiller l’accès aux sauvegardes. Les sauvegardes sont croisées entre les deux centres de données. Les centres de données font l’objet de certification sécurité et qualité à l’état de l’art : TIER 3+, ISO 9001 et ISO 27001.

     

    Plan de reprise d’activité : Le système d’information sous-jacent au traitement est conçu pour être résilient et repose sur un ensemble de mécanisme fournissant de la réplication et haute disponibilité sur les différentes couches (réseaux, infrastructures, systèmes). L’information est sauvegardée de manière croisée, sur un plan de sauvegarde quotidien. Des tests de restauration sont effectués régulièrement. L’ensemble du système d’information fait l’objet d’un plan d’amélioration continue alimenté par les besoins de développement et par le traitement des évènements.

     

    Logiciels anti-virus et pare-feu : Tous les postes de travail Intrinsec Sécurité sont protégés localement par, un mécanisme de mise à jour automatique forcé, un antivirus, un firewall local, une politique de renforcement du chiffrement intégral. Les serveurs sont a minima protégés par, un processus de mise à jour, un antivirus pour les systèmes applicables, un firewall local pour les serveurs critiques, une politique de renforcement, le traitement de leurs journaux.

     

    Formation et sensibilisation des salariés : la structure de gestion de la sécurité est déclinée au sein d’un règlement intérieur, d’une charte informatique annexée, d’une charte éthique et déontologique. Les personnels opérationnels métiers font l’objet d’une sensibilisation spécifique à leur contexte opérationnel, a minima lors des périodes d’embauches puis au travers de meetings présentiels réguliers. L’ensemble du personnel non technique fait l’objet d’une sensibilisation aux problématiques de cybersécurité à travers un MOOC abordant le sujet sous l’angle utilisateur du SI.

     

    Protection des locaux : Les accès aux locaux sont sécurisés par un contrôle d’accès nominatif, associé à un registre, un système d’alarme et de vidéosurveillance et détection incendie est déployé, une politique de classification des zones de sécurité est établie avec d’adaptation des moyens de contrôles d’accès, les visiteurs ne sont autorisés qu’accompagnés, et dans certaines zones uniquement, le matériel associé au système d’information est protégé en datacenter.

     

    Signalement des incidents : Intrinsec a défini, dans le cadre de sa conformité RGPD, un processus de traitement des incidents spécifique aux données personnelles, prenant en compte les exigences de délais requises par le RGPD.

    En plus de ces mesures de sécurité, le Prestataire rappelle au Client qu’il est certifié PASSI LPM par l’ANSSI

    • ARTICLE 16.4 – LISTE DES SOUS-TRAITANTS ULTERIEURS

    Interxion PAR-7 1-3 rue Râteau, 93120 La Courneuve, FRANCE : Centre d’hébergement du matériel informatique du sous-traitant

     EQUINIX 6 10 rue Waldeck Rochet, Bât. 520, 93300 Aubervilliers, France : Centre d’hébergement du matériel informatique du sous-traitant

    CYCLAD FRANCE, SARL,  885 avenue du Docteur Julien Lefebvre Villeneuve Loubet (06270) : l’accès, l’analyse, la collecte pour une partie ou la totalité des prestations en cas de sous-traitance de celles-ci 

     

    ARTICLE 17 – DISPOSITIONS GÉNÉRALES :

    Le Contrat est régi par le droit français et interprété conformément à celui-ci.

    La nullité de l’un quelconque des articles du présent Contrat n’emportera pas la nullité de l’ensemble du Contrat. Tout litige né de l’interprétation ou de l’exécution des présentes et de ses suites donnera d’abord lieu à la recherche d’une solution amiable. Dans l’éventualité d’un échec de cette procédure pré-judiciaire, le litige sera soumis au Tribunal de commerce de Nanterre, et sera jugé selon les règles du droit français.

Accédez à notre livre blanc

Télécharger
Contact