Conditions générales de vente
Applicable en France uniquement Conditions générales de services API
1. Objet
Les présentes conditions générales de services API (ci-après « les Conditions Générales » ou « les CG ») constituent les conditions contractuelles aux prestations de services (ci-après « les Prestations » et « les Services ») fournies par la société La Manufacture Française des Pneumatiques Michelin, société en commandite par actions au capital de 504.000.004 euros, sise au 23 Place des Carmes Deschaux – 63000 Clermont Ferrand - France et enregistrée au RCS Clermont Ferrand sous le numéro 855 200 507, ci-après « DDI », au client, personne morale émettrice de la commande ou signataire de la proposition commerciale (ou, le cas échéant la personne morale pour le compte de laquelle elle agit et dont elle se porte fort du respect des présentes), ci-après le « Client ». Les présentes Conditions Générales sont applicables à tout contrat de Prestations conclu entre DDI et le Client qui les référence. La commande du Client ou à défaut la signature de la proposition commerciale de DDI, matérialise l’acceptation par le Client, sans réserve et dans leur intégralité, des présentes Conditions Générales ainsi que, le cas échéant, des conditions spécifiques associées.
2. Documents contractuels
Le contrat entre les parties (ci-après le « Contrat ») est constitué des documents énumérés ci-après par ordre de priorité décroissant : (1) la commande du Client validée par DDI, (2) la proposition commerciale de DDI acceptée par le Client (3) les éventuelles conditions spécifiques applicables et (4) les présentes Conditions Générales. Les conditions d’achat du Client sont expressément exclues.
3. Entrée en vigueur - Durée
Le Contrat entre en vigueur, à compter de la validation par DDI de la commande du Client ou de l’acceptation par le Client de la proposition commerciale de DDI. Il demeure en vigueur jusqu’à la réalisation de la commande ou, le cas échéant, jusqu’au terme des dernières conditions spécifiques qui y sont attachées, tel que prévu par lesdites conditions spécifiques, sauf résiliation anticipée dans les conditions prévues au Contrat. La résiliation, la résolution, l’annulation ou la caducité de conditions spécifiques attachées aux présentes Conditions Générales n’emporte pas nécessairement la résiliation, la résolution, l’annulation ou la caducité du Contrat dans son ensemble, chacune des conditions spécifiques demeurant, sauf mention contraire, indépendantes et dissociables les unes des autres.
4. Commandes
Les commandes sont fermes et sujettes à acceptation de DDI. Cette acceptation peut intervenir par tout moyen, en ce compris tout commencement d’exécution du Contrat par DDI. Le Client reconnaît avoir disposé de l’ensemble des informations nécessaires afin de s’assurer que les Prestations retenus sont en adéquation avec ses besoins.
5. Délais
Sauf stipulation contraire, les délais de livraison de réalisation des Prestations par DDI sont mentionnés à titre indicatif.
6. Non exclusivité
Sauf stipulation contraire, les parties reconnaissent ne s’accorder aucune exclusivité réciproque dans le cadre du Contrat. En conséquence, DDI est libre de fournir toute Prestation, similaire ou identique à ceux objets du Contrat, à tout tiers y compris à tout concurrent du Client.
7. Prix
Les prix des Prestations de DDI sont réputés nets hors taxes et frais accessoires. Le Client supportera l’ensemble des taxes et contributions parafiscales afférentes aux Prestations commandées, ainsi que les éventuels frais de transport et de dédouanement le cas échéant.
8. Paiement
Les factures sont exigibles 30 jours à compter de la date de facture, et payables par virement bancaire sur le compte de DDI dont les coordonnées figurent sur la facture. Le défaut de paiement à échéance ou un règlement partiel produira intérêt au taux de trois (3) fois le taux de l’intérêt légal. Par ailleurs, conformément à l’article D.441-5 du Code de commerce le montant de l'indemnité forfaitaire pour frais de recouvrement est fixé à 40€. En cas de non-paiement à l’échéance, DDI peut suspendre l’exécution du Contrat et ce, sans qu’il soit nécessaire de procéder à une mise en demeure préalable. Les factures ne feront l’objet d’aucun escompte.
9. Livraison
Il appartiendra au Client de signaler tout Services manquants ou défectueux :
- à DDI, sans délai, par email envoyé à son contact commercial habituel.
A défaut, les Services livrés seront réputés conformes au Contrat, tant en termes de quantité que de qualité.
10. Propriété intellectuelle
Sauf mention contraire, aucun droit de propriété intellectuelle afférant aux Prestations n’est concédé par DDI au Client en vertu des présentes. Toute reproduction et/ou représentation par le Client des éléments protégés de DDI, sans autorisation préalable, est strictement interdite.
11. Défense des droits
Le Client s’engage à informer sans délai DDI de tout acte qui lui semblerait constituer une atteinte aux droits de cette dernière, ou qui serait contraires aux termes et conditions du Contrat, et prêtera son assistance à DDI à l’occasion de toutes poursuites que cette dernière pourrait être amené à intenter de ce chef. Le Client permettra à DDI d’assurer elle-même la défense de ses droits et de percevoir les éventuels dommages intérêts qui lui seraient dus sous réserve que DDI supporte les coûts afférents à la défense de ses intérêts.
12. Garanties et Indemnisations
Les parties garantissent qu’elles agiront conformément aux lois, règlements et codes déontologiques applicables (notamment en termes de bonnes pratiques, d’éthique, etc). Chaque partie déclare faire son affaire de toutes ses obligations fiscales, réglementaires, légales et sociales à sa charge. De manière générale, chaque partie s’engage à ne rien faire qui pourrait porter atteinte, directement ou indirectement, aux intérêts, à l’image ou à la réputation de l’autre partie ou de ses signes distinctifs et produits.
Par ailleurs, le Client garantit qu’il détient tous les droits nécessaires, et en particulier de propriété intellectuelle et/ou de licence sur les éléments mis à la disposition de DDI pour la bonne réalisation des Services ou utilisés en lien avec les Services. Le Client garantit DDI et les sociétés de son groupe contre toutes actions, réclamations, revendications, oppositions, de la part de toute personne invoquant un droit de toute nature sur les éléments mis à la disposition de DDI pour la bonne réalisation des Services ou utilisés en lien avec les Services, auquel l’exécution du présent Contrat aurait porté atteinte.
Le Client s'engage dans ce cadre à intervenir dans toutes actions qui seraient initiées à l'encontre de DDI ou d’une société de son groupe. Les indemnisations et frais de toute nature, dépensés par DDI et/ou une société de son groupe pour assurer sa défense, y compris les frais de conseil, ainsi que tous les dommages et intérêts éventuellement prononcés contre elle(s), seront pris en charge par le Client.
De son côté, DDI garantit qu’elle détient tous les droits nécessaires, et en particulier de propriété intellectuelle et/ou de licence sur les Services. En cas d’action ou allégation dirigée contre le Client par un tiers pour violation d’un droit de propriété intellectuelle de ce tiers par les Services, DDI assumera, avec l’assistance du Client, la défense à opposer à la demande du tiers sous réserve que (i) le Client avise DDI de l’allégation ou de l’action du tiers, dans un délai de 15 jours à compter du jour où il
Page 2 sur 7
en a connaissance, (ii) le Client laisse à DDI la seule direction de la défense et de toute négociation en vue d’une transaction éventuelle avec le tiers, (iii) le Client appelle DDI en garantie sans délai en cas de procédure judiciaire, (iv) la violation des droits de propriété intellectuelle ne résulte pas d’un manquement du Client aux obligations résultant du présent Contrat. Si la violation des droits de propriété intellectuelle d’un tiers par les Services de DDI est avérée et reconnue par une décision de justice passée en force de chose jugée ou par une transaction acceptée par DDI, DDI prendra à sa charge tous les dommages-intérêts auxquels pourrait être condamné le Client par une décision de justice devenue définitive et ayant pour base exclusive la démonstration d'une telle atteinte.
13. Limitation de responsabilité
DDI, SES CONCEDANTS DE LICENCE ET/OU FOURNISSEURS, NE POURRONT ETRE TENUS RESPONSABLES DE TOUT DOMMAGE INDIRECT QUE CE SOIT, Y COMPRIS, SANS QUE CETTE LISTE NE SOIT LIMITATIVE, LES PERTES DE PROFIT OU DE CHIFFRE D’AFFAIRES, LES PERTES OU ALTERATIONS DE DONNEES, L’ATTEINTE A L’IMAGE, LES COUTS LIES AUX ASSURANCES SUPPLEMENTAIRES ET AUX BIENS OU SERVICES DE REMPLACEMENT. LA RESPONSABILITE TOTALE DE DDI AU TITRE DES PRESENTES, NE POURRA EN AUCUN CAS DEPASSER, TOUT PREJUDICE CONFONDU, UN MONTANT EGAL AU MONTANT TOTAL VERSE OU EXIGIBLE :
- AU TITRE DU/DES SERVICES FOURNIS AU TITRE DE LA COMMANDE OU DES CONDITIONS SPECIFIQUES A L’ORIGINE DE LA RESPONSABILITE, A LA DATE DE SURVENANCE DU FAIT GENERATEUR DE RESPONSABILITE ;
- EN CAS DE REDEVANCES PERIODIQUES, AU TITRE DE L’ANNEE CALENDAIRE PRECEDANT LA SURVENANCE DU FAIT GENERATEUR DE RESPONSABILITE.
LES LIMITATIONS DE RESPONSABILITE NE S’APPLIQUERONT PAS EN CAS (I) DE FAUTE DOLOSIVE ; (II) DE DECES OU DE PREJUDICES CORPORELS. LA PRESENTE CLAUSE « RESPONSABILITE » RESTERA EN VIGUEUR MALGRE LA FIN DU CONTRAT, POUR QUELLE QUE CAUSE QUE CE SOIT. TOUTE RECLAMATION RELATIVE AUX PRESENTES DEVRA ETRE SOUMISE A DDI DANS L’ANNEE SUIVANT LA SURVENANCE DE L’EVENEMENT DONNANT LIEU A RECLAMATION, SOUS PEINE DE FORCLUSION.
14. Informatique et libertés
Le Client est informé que DDI en tant que responsable de traitement, met en oeuvre des traitements de données personnelles ayant pour finalité la gestion des opérations relatives à la relation contractuelle avec ses clients, en conformité avec la Loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement Général sur la Protection des Données. Le Client s’engage à informer les personnes concernées de ces traitements. Les données traitées sont indispensables à ce traitement et sont utilisées par les services concernés de DDI et ceux du groupe Michelin, et le cas échéant, ses sous-traitants et prestataires dont certains peuvent se trouver hors UE, notamment en Inde et aux Etats-Unis. Afin d'offrir des garanties adéquates concernant la protection de ces données, une convention de flux transfrontière reprenant les clauses types de la Commission européenne a été signée entre la Manufacture Française des Pneumatiques Michelin et ses sous-traitants, disponible sur simple demande. Des transferts à l’intérieur du Groupe Michelin peuvent également avoir lieu et se trouvent encadrés par les Règles Contraignantes d’Entreprise du Groupe qui ont été validées par la CNIL (disponibles sur michelin.com). Les données concernées sont conservées pendant toute la durée de la relation contractuelle augmentée des durées de prescription légale. Les personnes concernées bénéficient, dans les conditions prévues par la loi, d’un droit d’accès, de rectification, d’un droit à la portabilité, à la limitation du traitement et d’opposition pour raisons légitimes, ainsi que du droit de définir des directives relatives au sort de ses données après sa mort dans les cas définis par la règlementation applicable. Elles peuvent exercer les droits dont elles disposent en s’adressant à La Manufacture Française des Pneumatiques Michelin à ddiprivacy@michelin.com. Les personnes concernées ont la possibilité d’écrire un courriel au service en charge de la protection des données personnelles à : privacy.fr@michelin.com. Elles peuvent en cas de contestation former une réclamation auprès de la CNIL sur son site internet.
Étant donné que les données personnelles peuvent être utilisées ou échangées dans le cadre de l'exécution des présentes, les Parties doivent se conformer aux dispositions de l'annexe 1, intitulée « Protection des données à caractère personnel ».
15. Assurance
Chacune des parties déclare être assurée pour toutes les conséquences pécuniaires de sa responsabilité civile professionnelle et d’exploitation du fait de tout dommage corporel, matériel et immatériel consécutif et/ou non consécutif causé à l’autre partie et /ou à tout tiers dans le cadre du Contrat. Ces assurances seront souscrites auprès d'une compagnie d'assurance notoirement solvable et maintenues pendant toute la durée du Contrat et deux ans après son terme. Chacune des parties s’engage à fournir à première demande de l’autre partie une attestation annuelle émanant de ladite compagnie précisant les montants garantis.
16. Résiliation
En cas de manquement par l’une des parties aux obligations des présentes non réparé dans un délai de 30 jours à compter de l’envoi par l’autre partie d’une lettre recommandée avec avis de réception notifiant le manquement en cause, l’autre partie pourra prononcer de plein droit la résiliation, à sa discrétion, du Contrat ou d’une ou plusieurs conditions spécifiques concernées par le manquement sans préjudice de tous dommages et intérêts auxquelles elle pourrait prétendre en vertu des présentes.
17. Confidentialité
Chacune des parties traitera comme strictement confidentiel l’ensemble des informations, données et/ou documents reçus de l’autre partie dans le cadre du Contrat, qui ne seraient pas tombés dans le domaine public et qui lui auront été communiqués par l’autre partie ou dont elle aurait eu connaissance à l’occasion de l’exécution du Contrat notamment les informations de nature commerciale, technique, financière. Cette obligation de confidentialité s’appliquera à chacune des parties tant pendant la durée du Contrat que deux ans après son expiration. Chacune des parties s’engage à faire respecter cette obligation de confidentialité par ses salariés et tiers auxquels elle aura fait appel.
18. Indépendance des parties
Les parties déclarent qu’elles sont et demeureront pendant toute la durée du Contrat des partenaires commerciaux et professionnels indépendants, agissant chacune pour leur propre compte et assumant chacune les risques de sa propre exploitation. Aucune disposition du Contrat ne saurait être interprétée comme conférant au Client la qualité de représentant, d’agent ou de mandataire de DDI, pour quelque objet que ce soit.
19. Cession
DDI pourra céder tout ou partie du présent Contrat à toute société appartenant au même Groupe. A l’exception de cette disposition, aucune des parties ne pourra céder les commandes, ni les droits ou obligations résultant du Contrat.
20. Sous-traitance
DDI peut sous-traiter tout ou partie des prestations lui incombant en application des présentes, mais restera seule responsable de l’exécution des obligations sous-traitées.
21. Notifications
Toutes les notifications effectuées en vertu du Contrat devront l’être par lettre recommandée avec accusé de réception à l’adresse des parties indiquée au Contrat.
22. Référence commerciale
DDI pourra faire référence à l’utilisation par le Client des Services dans sa documentation commerciale, communiqué de presse et ou tout autre document externe.
23. Force Majeure
DDI ne pourra voir sa responsabilité engagée au titre de retards, d’un défaut d’exécution de ses obligations ou de dommages causés par un événement de force majeure tels qu’habituellement retenus par la jurisprudence des cours et tribunaux français.
24. Loi applicable et juridiction compétente
LE CONTRAT EST REGI PAR LA LOI FRANÇAISE. POUR TOUTE CONTESTATION DE TOUTE NATURE, SUSCEPTIBLE DE SURVENIR A L’OCCASION DE L’INTERPRETATION, DE L’EXECUTION ET/OU DE LA RESILIATION DU CONTRAT, ATTRIBUTION DE JURIDICTION EST FAITE AUX TRIBUNAUX DE NANTES, NONOBSTANT PLURALITE DE DEFENDEURS OU APPEL EN GARANTIE.
Page 3 sur 7
Conditions spécifiques des services API
A) DUREE
Les présentes Conditions Spécifiques prennent effet à compter de la date d’entrée en vigueur prévue aux Conditions Générales, et sont conclues pour la durée initiale spécifiée dans la Proposition Commerciale, sauf résiliation dans les conditions prévues aux Conditions Générales. A l’issue de cette période, et sauf disposition contraire inscrite dans la Proposition Commerciale, le Contrat se renouvelle par tacite reconduction pour des périodes d’un an, sauf dénonciation notifiée par lettre recommandée avec accusé de réception par l’une ou l’autre partie, au moins trois (3) mois avant sa date d’échéance.
B) DROITS ACCORDES AU CLIENT
DDI ou ses concédants sont titulaires des droits de propriété intellectuelle afférents aux Services, aux différents éléments qui les composent tels que, sans que la liste ne soit exhaustive les algorithmes de croisement des données et de calcul, les données véhicules, images, photographies, articles, points d’intérêts, coordonnées géographiques (x;y), marques et logos (ci-après les « Contenus Saas»), aux API et interfaces. Aucun droit sur les Services et les Contenus Saas, autres que ceux expressément prévus aux présentes, n’est concédé par DDI au Client. Toute reproduction et/ou représentation sous quelle que forme ou par quelque moyen que ce soit par le Client des Contenus Saas sans autorisation préalable de DDI est strictement interdite.
Sous réserve du paiement par le Client des factures correspondantes et du respect des dispositions du Contrat, DDI concède au Client, à titre non exclusif et non cessible un droit d’utilisation des Services. Il est expressément convenu que ce droit est limité aux Utilisateurs, Usages et Supports Autorisés désignés à la Proposition Commerciale. Ce droit est concédé pour la durée prévue dans la Proposition Commerciale. Par conséquent, le Client n’est pas autorisé à céder, concéder, à titre gratuit ou onéreux, de quelque manière que ce soit un droit d’exploitation des Services et/ou des Contenus Saas à un tiers.
Le Client s’engage à ne pas extraire, stocker, reproduire, ou archiver les Contenus Saas, logiciels, API et autres interfaces de DDI, ni les pages web de résultat ou réponse.
Le Client s’engage à ne pas effectuer des opérations d’ingénierie inverse, décompiler, désassembler les Services sauf dans les limites autorisées par la loi et dans le respect des droits de propriété intellectuelle de DDI.
Le Client s’engage à ne pas ne pas porter atteinte, modifier ou altérer les Contenus Saas et les pages web de résultats et/ou de réponses, et notamment leur lisibilité. Il s’engage également à ne pas créer d’oeuvres dérivées, en ce compris d’autres bases de données, à partir de ces Contenus Saas.
Le Client s’engage à afficher et à ne pas porter atteinte, modifier et/ou retirer les notices et mentions de copyright de DDI et de ses fournisseurs pouvant figurer sur les Contenus Saas.
C) RESTRICTION D’USAGE DES SERVICES PAR LES UTILISATEURS
Le Client s’engage vis-à-vis de DDI à prendre toutes les mesures nécessaires en vue d’assurer le respect par les Utilisateurs des restrictions d’utilisation des Services.
Le Client s’engage à informer les Utilisateurs qu’en aucun cas les Contenus Saas ne peuvent être (i) reproduits, copiés, imprimés, publiés, distribués et/ou transmis, pour des besoins autres que les besoins internes ou personnels des Utilisateurs, à l’exclusion de tout usage commercial et/ou promotionnel, (ii) téléchargés et/ou stockés par les Utilisateurs, (iii) extraits et réutilisés totalement ou partiellement par les Utilisateurs, notamment en vue de créer et/ou développer une base de données à partir desdits Contenus Saas.
Le Client s’engage également à indiquer aux Utilisateurs qu’ils ne doivent en aucun cas (i) utiliser les Services d’une manière qui pourrait porter atteinte à leur performance, leur accessibilité et leur disponibilité, (ii) utiliser les Services afin de recevoir ou transmettre des informations et contenus à caractère illégal, diffamatoires ou contrefaisants et (iii) effectuer des opérations d’ingénierie inverse, décompiler, désassembler les Services sauf dans les limites autorisées par la loi et dans le respect des droits de propriété intellectuelle de DDI.
D) ENGAGEMENTS DE DDI
En cas de transmission par le Client à DDI de sa propre base de données, DDI s’engage à ne pas utiliser celle-ci, ni son contenu pour des besoins autres que la fourniture des Services. DDI déclare et garantit mettre en place les mesures techniques et organisationnelles conformes à l’état de l’art pour protéger les données, documents et/ou matériels qui lui seraient confiés par le Client contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé.
DDI s’engage à respecter les engagements de niveaux de service figurant aux présentes.
DDI est autorisée à son entière discrétion et à tout moment à mettre à jour et améliorer les fonctionnalités et la couverture géographique des Services. DDI fera ses meilleurs efforts afin de permettre au Client de bénéficier de ces mises à jour sans surcoût.
E) MISE EN OEUVRE DES SERVICES
La mise en oeuvre des Services nécessite l’intégration et la reproduction par le Client dans les Supports Autorisés d’une clé d’authentification mise à sa disposition par DDI. Le Client s’engage à n’utiliser cette clé d’authentification que pour les Supports Autorisés.
Le Client disposera également d’un accès à un compte client au moyen d’un identifiant et d’un mot de passe fourni par DDI. Le Client est responsable de l’usage et de l’absence de divulgation de ces identifiant et mot de passe à des tiers non autorisés.
L’éventuelle transmission par le Client à DDI de sa base de données sera effectuée dans des conditions conjointement convenues entre les parties.
Page 4 sur 7
F) NIVEAUX DE SERVICES
DDI s’engage à mettre en oeuvre les moyens nécessaires pour assurer les taux de disponibilité et les niveaux de services suivants :
Service carnet d’entretien & fiche véhicule
Plage de disponibilité
24h/24 & 7jrs/7
Taux de disponibilité
97%
Les interruptions et les temps de rétablissement seront décomptés entre l’heure à laquelle une interruption est notifiée par le Client à DDI pendant les heures ouvrées (du lundi au vendredi de 9h à 18h, à l’exception des jours fériés ; le Lundi de Pentecôte étant considéré comme jour férié), et l’heure à laquelle DDI notifie au Client le rétablissement du Service sur le site concerné.
Garantie de temps d’intervention
La Garantie de temps d’intervention correspond au délai maximum de prise en charge d’un incident par DDI. Il est mesuré pour des situations d’incident et ne l’est pas pour des demandes d’évolution.
DDI s’engage à intervenir sous 4h ouvrées.
Période sous garantie d’intervention : du lundi au vendredi hors jours fériés, de 9h à 18h (GMT +1h). Il est précisé que le Lundi de Pentecôte sera considéré comme jour férié.
Garantie de temps de rétablissement
La Garantie de temps de rétablissement correspond au délai maximum sur lequel s’engage DDI pour rétablir le Service à la suite d’un incident ou coupure de Service.
En cas de coupure pour intervention ou incident, le Service doit redevenir disponible selon les niveaux de criticité suivants :
CRITICITE
Bloquant
(niveau confirmé)
Majeur
(niveau confirmé)
Mineur
(niveau confirmé) DETAILS
Le Service ne peut être rendu, il n’est pas accessible ou d'une lenteur ne permettant pas son exploitation.
Le Service est en état de fonctionnement. Cependant un problème a été trouvé. Il peut être contourné. Dans le cas contraire, ce problème ne bloque pas l’utilisation du Service mais il est critique pour l'Utilisateur
Le Service est en état de fonctionnement. Cependant un problème a été trouvé. Il peut être contourné. Dans le cas contraire, ce problème ne bloque pas l’utilisation du Service mais il n'est pas critique pour l'utilisateur. ENGAGEMENT DDI
Rétablissement du Service sous 1jr ouvré à compter de la prise en charge de l’incident
Rétablissement du Service sous 2jrs ouvrés à compter de la prise en charge de l’incident.
Rétablissement du Service sous 5jrs ouvrés à compter de la prise en charge de l’incident.
Période sous garantie de rétablissement : du lundi au vendredi hors jours fériés, de 9h à 18h (GMT +1h). Il est précisé que le Lundi de Pentecôte sera considéré comme jour férié.
Indisponibilités
DDI informera par tous moyens et notamment par email, le Client des indisponibilités du Service non prévues dans les 2h ouvrées (heures ouvrées = 09h -18h (GMT+1) - Jours ouvrés).
L’adresse mail de contact est la suivante : xxxx
Opérations de maintenance programmées
DDI peut être amenée à effectuer des interventions de maintenance programmée sur ses serveurs. Ces maintenances sont incluses dans le prix et ne feront pas l'objet d'une facturation spécifique. Ces maintenances peuvent dans certains cas engendrer une suspension ou une restriction d’accès aux Services.
DDI s’engage à mettre en oeuvre les moyens nécessaires pour limiter les durées de ces suspensions ou restrictions d’accès. Ces temps de suspension ou de restriction seront comptabilisés pour le calcul de la disponibilité du Service prévue au Contrat.
La plage horaire des maintenances programmées est la suivante : 19h00 – 08h00, heure de Paris.
Chacune des maintenances fera l'objet d'un email d'information auprès du Client, 5 jours ouvrés avant le début de la maintenance à l’adresse suivante : xxxx
Autre engagement
DDI s’engage à suivre et partager bimensuellement les temps de réponses au Service Carnet d’entretien. Ce suivi permettra à DDI et au Client de prendre les mesures nécessaires à l’utilisation du Service. Compte tenu des temps de réponse actuels DDI s’engage à les suivre et les partager mensuellement sur l’année 2021.
Page 5 sur 7
G) SECURITE
L’ensemble de l’environnement technique de DDI est protégé derrière des systèmes de firewall et de prévention d’intrusion et surveillé de manière continue. Les accès aux comptes client sont protégés par des mots de passe individualisés.
H) SUPPORT TECHNIQUE DDI
DDI fournit au Client un service support pendant la durée du présent Contrat.
Le Support est accessible par mail de 9h à 18h (GMT +1h), du lundi au vendredi (hors jours fériés). Il est précisé que le Lundi de Pentecôte sera considéré comme jour férié.
Le support (c’est-à-dire les services techniques et le cas échéant les documentations) est fourni en français.
Le Support est assuré par l’équipe IT DDI. L’adresse email de contact est : xxxx
Toute demande de résolution d'Incident fera l'objet d'une analyse par nos services techniques. Nos services techniques peuvent être amenés à envoyer au Client une liste d'éléments à fournir, dans le cas où ils n'ont pas assez d'informations pour reproduire l'Incident, s’il y a lieu.
Un reporting trimestriel sur les différentes demandes envoyées au Support sera transmis au Client, à sa demande.
Afin d’adapter et mesurer la réponse DDI à la sévérité d’un Incident remonté par le Client, l’objet de l’email envoyé par le Client devra comporter le niveau de sévérité correspondant, selon la liste ci-dessous :
- Bloquant : engagement DDI de résolution des tickets sous 1 jour ouvré
- Majeur : engagement DDI de résolution des tickets sous 2jr ouvrés.
- Mineur : engagement DDI de résolution des tickets sous 5jrs ouvrés.
Dans les cas où le niveau de criticité ne serait pas précisé, DDI s’engage à traiter la demande jusqu’à 10 jours ouvrés.
Un accusé-réception automatique de la demande sera transmis au Client à réception de sa demande. Lors de sa prise en charge, DDI pourra requalifier le niveau de criticité et en informera le Client.
Les Parties se réuniront après un an afin d’envisager ensemble la nécessité d’adapter cet engagement en tenant compte des constats de l’année passée.
Le prix indiqué au Contrat n’inclut aucune demande d’évolution du Service de la part du Client. Toute demande d'évolution, validée par DDI, fera l'objet d'une étude de faisabilité, incluant coût et délais.
Les données importées par le Client dans les Services restent la propriété du Client. Le Service Support VDS peut assister le Client pour l’importation des données lui appartenant. Il n’est cependant pas habilité à ajouter, modifier ou supprimer lesdites données.
I) LIMITATION DE GARANTIE.
LES SERVICES SONT FOURNIS « EN L’ETAT » SANS GARANTIE D’AUCUNE SORTE, EXPRESSE, IMPLICITE OU LEGALE, ET LA RESPONSABILITE DE DDI NE SAURAIT ETRE ENGAGEE EN CAS D’INADEQUATION DES SERVICES AUX BESOINS DU CLIENT. EST NOTAMMENT EXCLUE TOUTE GARANTIE IMPLICITE DE FIABILITE, DE PRECISION OU D’EXHAUSTIVITE DES CONTENUS, SERVICES. EN EFFET, DDI ET SES FOURNISSEURS APPORTENT LE PLUS GRAND SOIN A LA SELECTION ET MISE A JOUR DES CONTENUS MAIS IL EST POSSIBLE QU’A LA DATE DE REALISATION OU D’UTILISATION DES SERVICES, CERTAINES DONNEES NE SOIENT PAS DISPONIBLES, AIENT EVOLUE OU AIENT ETE MODIFIEES.
J) AUDIT
Sur préavis écrit de trente (30) jours adressé au Client, DDI pourra contrôler le respect par le Client de l’ensemble des obligations contractuelles prévues aux présentes conditions spécifiques, et notamment des conditions financières prévues à la Proposition Commerciale. Ces audits n’interviendront pas plus d’une fois par an et seront réalisés par un cabinet d’audit indépendant des Parties désigné par DDI. Tout audit sera réalisé pendant les heures ouvrables. Dans les meilleurs délais, le Client communiquera aux auditeurs les informations, et leur apportera l’assistance, nécessaires pour réaliser chaque contrôle, en leur permettant d’avoir accès aux systèmes, aux bases de données, aux produits, aux livres, aux registres et aux dossiers du Client.
DDI et les auditeurs veilleront à préserver la confidentialité de toutes les informations obtenues dans le cadre de l’audit concernant l’activité du Client et à ce qu’elles ne soient pas utilisées à une autre fin que la bonne réalisation de l’audit. Si l’audit fait apparaître un manquement par le Client à ses obligations contractuelles, et notamment un moins-perçu des sommes dues à DDI le Client remédiera, dans un délai de trente (30) jours calendaires, auxdits manquements, le cas échéant par voie de régularisation des sommes dues augmentées des intérêts de retard, sans préjudice du droit de DDI de réclamer des dommages-intérêts et/ou de mettre fin au présent Contrat en application des dispositions du présent Contrat. Dans le cas où le moins perçu serait au moins égal à 5%, le Client supportera en outre les frais engendrés par l’audit.
Page 6 sur 7
Annexe 1 : protection des données à caractère personnel
Le Client reconnait que DDI lui a transmis toutes informations pertinentes et que DDI prend et met en oeuvre dans le cadre du Contrat les mesures de sécurité techniques, logiques et organisationnelles appropriées en vue de protéger les données à caractère personnel contre leur altération, perte, destruction fortuite ou illicite, divulgation ou accès non autorisé.
Pour les besoins de la présente Annexe, les termes « Responsable de Traitement », « Sous-Traitant », « Donnée à Caractère Personnel », « Traitement » auront le sens qui est donné à ces termes dans le Règlement (UE) 2016/79 du Parlement européen et du conseil du 27 avril 2016 abrogeant la Directive 95/46/CE, applicable à partir du 25 mai 2018 (ci-après le « Règlement »), la loi n° 78-17 du 6 janvier 1978 relative à l’informatique , aux fichiers et aux libertés, modifiée en 2004 et 2018 et tout texte législatif ou règlement ultérieur.
a. Respect de la règlementation applicable à la protection des données à caractère personnel
Chaque partie, agissant en qualité de Responsable de Traitement et/ou Sous-Traitant, s’engage à respecter toutes obligations résultant de l’application des législations relatives à la protection des données à caractère personnel et de la vie privée susceptibles de s’appliquer aux Données à Caractère Personnel traitées dans le cadre du Contrat , y compris celles du Règlement général sur la protection des données (UE) 2016/79 du 27 avril 2016, les obligations découlant de l’application de la loi n°78-17 du 6 janvier 1978 modifiée et ses éventuelles mises à jour, les textes adoptés au sein de l’Union européenne et les lois et/ou règlementations locales le cas échéant applicables. (« Réglementation Applicable aux Données à Caractère Personnel »).
Les parties s’engagent à collaborer activement afin de permettre l’accomplissement des formalités déclaratives leur incombant et, le cas échéant, obtenir les autorisations des autorités de contrôle compétentes.
b. Collecte et traitement des données à caractère personnel mis en oeuvre par DDI
Dans le cadre du Contrat, les Parties conviennent que Le Client et les sociétés affiliées au Client sont les Responsables de Traitement et DDI, le Sous-Traitant au regard de la Réglementation Applicable aux Données à Caractère Personnel. Dans ce cadre, Le Client sera exclusivement responsable de :
(i) s’assurer que les Données à Caractère Personnel sont traitées à tout moment en conformité avec la Réglementation Applicable aux Données à Caractère Personnel ;
(ii) mettre en oeuvre les mesures de sécurité techniques, logiques et organisationnelles appropriées en vue de protéger les Données à Caractère Personnel contre leur altération, perte, destruction fortuite ou illicite, divulgation ou accès non autorisé ;
(iii) fournir aux personnes concernées par les Données à Caractère Personnel les informations obligatoires prévues par la Réglementation Applicable aux Données à Caractère Personnel ;
(iv) traiter les requêtes des personnes concernées par les Données à Caractère Personnel dans le cadre de l’exercice de leurs droits ;
(v) assumer la pleine responsabilité des actes et omission de ses sous-traitants dans le cadre de l’exécution des contrats qui les lient ;
(vi) effectuer, le cas échéant, toutes les déclarations ou notifications appropriées aux autorités de contrôle de la protection des Données à Caractère Personnel compétentes.
c. Engagements de DDI
DDI s’engage à traiter des données à caractère personnel dans les conditions décrites ci-dessous :
- Durée du traitement : durée du Contrat
- Nature et finalité du traitement :
• hébergement des données renseignées et intégrées par le Client dans l’espace de stockage mis à sa disposition par DDI
• sur demande écrite du Client, intervention sur les données
• appel à la base du Client pour les réponses aux requêtes envoyées par l’application du Client
- Type de données à caractère personnel : celles fournies par le Client
- Catégories de personnes concernées : utilisateurs des services fournis par DDI, utilisateurs de l’application du Client, salariés du Client ou de ses propres clients ou partenaires.
Le Client informera DDI de toute demande de modification de ces traitements. Ladite demande sera discutée entre les Parties et, le cas échéant un processus de demande de changement s’appliquera.
DDI s’engage :
- à traiter les Données à Caractère Personnel seulement sur instructions documentées de Le Client telles que décrites aux présentes ;
- à ne pas utiliser, permettre ou faciliter l’utilisation par des tiers, des sous-traitants ou de toute personne agissant sous l’autorité et/ou pour le compte de DDI, pour d’autres finalités que l’exécution du Contrat, et à ne pas les communiquer à des tiers même pour leur préservation ;
- à mettre en place et maintenir pendant toute la durée du Contrat, les mesures techniques et procédures appropriées afin d’assurer que toutes les Données à Caractère Personnel du Client qui seront traitées dans le cadre du Contrat seront bien protégées, eu égard à leur nature et aux risques présentés par le traitement, contre leur altération, perte, destruction fortuite ou illicite, divulgation ou accès non autorisé. Ces mesures et procédures sont décrites en Annexe 2 ;
- à ne pas avoir recours à un autre sous-traitant sans l’accord écrit, préalable ou général du Client. Dans l’hypothèse d’un accord général, DDI informera le Client de tout changement concernant l’ajout ou le remplacement de sous-traitant ;
- à ce que toutes les personnes ayant accès et/ou traitant les Données à Caractère Personnel au titre du Contrat soient personnellement tenues à une obligation de confidentialité ;
- à fournir au Client son assistance en vue de lui permettre de respecter les obligations prévues par les articles 32 à 36 du RGPD (faille de sécurité, étude d’impact) et ce compte tenu de la nature du traitement et des informations disponibles par DDI;
- ne pas transférer les données à caractère personnel ou permettre leur transfert dans un état hors de l’Espace Economique Européen à moins (i) qu’un tel état soit reconnu comme assurant un niveau de protection adéquat par la Commission Européenne, ou (ii) qu’un tel transfert soit réalisé en
Page 7 sur 7
conformité avec un ou plusieurs des cas prévus par la Réglementation Applicable aux Données à Caractère Personnel et en tout état de cause, après accord préalable du Client ;
- dans l’hypothèse où les données à caractère personnel seraient transférées en dehors de l’EEE, à informer Le Client d’un tel transfert. Le Client devra dans cette hypothèse signer avec le sous-traitant de DDI un contrat de transfert de données dans la forme et selon les modalités prévues par la décision de la Commission Européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers (ci-après « les Clauses Types ») ; et
- informer le Client de toute action et/ou mesures instiguées par l’autorité de contrôle relatives aux Traitements de Données à Caractère Personnel effectués dans le cadre de son activité et notifier immédiatement au Client toute modification ou changement pouvant impacter les Traitements de Données à Caractère Personnel au titre du Contrat.
En conséquence, DDI s’interdit :
- de consulter et/ou traiter des Données à Caractère Personnel autres que celles nécessaires pour mettre en oeuvre les Traitements prévus au présent Contrat et ce, même si l’accès à ces données est techniquement possible ;
- de divulguer, sous quelque forme que ce soit, tout ou partie des Données à Caractère Personnel exploitées auprès de tiers.
Si DDI utilise les Données à Caractère Personnel à d’autres fins, les transmet et/ou les utilise d’une manière non conforme à celles prévues au Contrat ou communiquée par le Client, DDI sera également considéré comme responsable de traitement et personnellement responsable des infractions qu’il pourrait commettre.
DDI peut réunir, compiler, mélanger et utiliser des données statistiques et analytiques agrégées et/ou données de performance relatives à la fourniture des Services et leur utilisation par Le Client, uniquement pour des finalités financières, comptables, relatives à l’optimisation du produit, au support du Client ou toute autre finalité interne. DDI détient l’intégralité des droits de propriété, notamment intellectuelle, sur ces données statistiques et analytiques agrégées et données de performance dans la mesure où elles ne contiennent pas de données à caractère personnel.
d. Réversibilité
A la fin du Contrat pour quelle que cause que ce soit, DDI s’engage à détruire, ou le cas échéant, selon les instructions du Client, à lui restituer les Données à Caractère Personnel sous trente (30) jours ouvrés à compter de ladite demande sauf si la loi applicable lui interdit ou l’empêche de le faire. Dans l’hypothèse où le Client demande la destruction des Données à Caractère Personnel, DDI certifiera par écrit, dans un délai raisonnable, avoir procédé à une telle destruction.
e. Audit
Le Client se réserve le droit de conduire des audits, en cas de besoin et à ses propres frais, pour s’assurer du respect par DDI de ses obligations contractuelles. Les parties conviendront conjointement des modalités d’un tel audit.
f. Faille de sécurité
DDI s’engage à notifier au Client dans les meilleurs délais après en avoir pris connaissance de toute violation avérée ou suspectée de Données à Caractère Personnel. DDI s’engage à procéder à toutes investigations utiles sur les manquements aux règles de protection ci-dessus visées et/ou sur toutes menaces afin de remédier auxdits manquements et/ou menaces et éviter qu’ils ne se reproduisent à l’avenir.
DDI s’engage à remédier à ces failles concernées. DDI reconnait qu’une faille de sécurité entraine des obligations au Client notamment relatives à la notification aux personnes concernées ainsi qu’aux autorités concernées. DDI s’engage en conséquence à faire ses meilleurs efforts pour collaborer avec Le Client en vue du respect de ces obligations.
Annexe 2 : mesures de sécurité
Hébergeur ISO-IEC 27001
Les données sont hébergées en France dans les Datacenters de la société Microsoft Azure. L’hébergement proposé est certifié ISO/IEC 27001 pour la gestion de la Sécurité de l’information démontrant ainsi l’importance qui est accordée à la continuité de l’activité ainsi qu’à la gestion de la sécurité au sein de l’entreprise. L’ISO 27001 et une norme internationale qui définit les exigences pour l’étude, la mise en place et la documentation d’un système efficace de gestion de la sécurité de l’information.
L’infogérance est assurée par la société Oceanet Technology.
Mesures de sécurité pour l’accès aux locaux :
Toutes les mesures pour empêcher l’accès physique non autorisé, tout dommage ou intrusion dans les locaux dans lesquelles résident les données sont mises en place. Les salles serveurs sont protégées physiquement des accès incontrôlés ou malveillants.
Mesures de sécurité d’accès aux serveurs :
Dans le cadre du déploiement de projets, les collaborateurs de DDI sont amenés à se connecter sur les serveurs. Les conditions de traitement sont strictement encadrées, et chaque collaborateur est sensibilisé régulièrement à la sécurité. Une politique de contrôle d’accès de manière à empêcher les accès non autorisés aux systèmes d’exploitation est mise en place.