Conditions Générales
CONDITIONS GÉNÉRALES D’UTILISATION ET D’HÉBERGEMENT DE DONNÉES À CARACTÈRE PERSONNEL
Article 1. Contexte et Objet
Le Client, responsable de traitement, a souscrit à un ou plusieurs services auprès d’ONTOMANTICS.
Le Client héberge des données à caractère personnel sur les serveurs ONTOMANTICS ce qui donne à ONTOMANTICS le statut, conformément à la doctrine de la CNIL, de sous-traitant.
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
Il est rappelé que dans le cadre de sa relation commerciale avec le Responsable de Traitement, ONTOMANTICS se limite à fournir de l’espace d’hébergement et n’intervient jamais directement sur les données à caractère personnel du client, en ce sens qu’en aucun cas ONTOMANTICS ne manipulera les données à caractère personnel du client, en dehors de leur stockage et de leur sauvegarde, et, pour ce dernier cas, sous réserve que le Client ait souscrit à l’option payante « sauvegarde ».
En sa qualité d’hébergeur, ONTOMANTICS n’a pas d’obligation générale de surveillance du contenu qu’il héberge et, sauf souscription à un service particulier, ignore donc si ses clients hébergent des données à caractère personnel sur ses services.
Article 2. Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à héberger et, sous réserve de la souscription à ce service payant, la sauvegarde, pour le compte du responsable de traitement, les données à caractère personnel qu’il a déclaré dans le cadre du formulaire de déclaration.
La nature des opérations réalisées sur les données est l’hébergement des données et, sous réserve de la souscription à ce service payant, la sauvegarde des données.
La ou les finalité(s) du traitement est ignorée par le Sous-Traitant, conformément à l’article 6-1-2 de la loi n°2004-575 du 21 juin 2004.
Les données à caractère personnel traitées sont ignorées par le Sous-Traitant, conformément à l’article 6-1-2 de la loi n°2004-575 du 21 juin 2004.
Les catégories de personnes concernées sont ignorées par le Sous-Traitant, conformément à l’article 6-1-2 de la loi n°2004-575 du 21 juin 2004.
Article 3. Durée du contrat
Les présentes conditions générales d’hébergement de données à caractère personnel entrent en vigueur à compter du 1er janvier 2021.
Article 4. Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s’engage à :
1. Traiter les données uniquement pour la seule finalité qui fait/font l’objet de la sous-traitance, à savoir héberger les données étant entendu que le sous-traitant n’effectue aucune action sur les données à caractère personnel du responsable du traitement en dehors de leur hébergement sur ses serveurs, qu’il s’agisse des serveurs de production et/ ou des serveurs de sauvegarde, sous réserve que le responsable de traitement ait souscrit à la sauvegarde payante pour ce dernier cas.
2. traiter les données conformément aux services souscrits par le Client. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat (dans la mesure où le Responsable du Traitement ne rend pas son hébergement accessible à des tiers non autorisé et veille à ce que les mesures de sécurité permettant la confidentialité soient prises, puisque le client a un total accès sur les données à caractère personnel hébergées par ONTOMANTICS).
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
· S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
· Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
5. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
Article 5. Sous-traitance
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.
Le responsable de traitement dispose d’un délai maximum de 15 jours à compter de la date de réception de cette information pour présenter ses objections.
Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise
en œuvre de mesures techniques et organisationnelles appropriées de sorte que le traitement réponde aux exigences du règlement européen sur la protection des données.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
Article 6. Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Article 7. Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : Droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse indiqué par le Client au moment de la souscription aux services.
Article 8. Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et par courriel à l’adresse indiquée par le client au moment de la souscription des services.
Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
· la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
· le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
· la description des conséquences probables de la violation de données à caractère personnel ;
· la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Le responsable du traitement assume la communication auprès des personnes concernées des violations des données à caractère personnel. Il est rappelé que le sous-traitant n’a pas connaissance des données à caractère personnel qu’il héberge et qu’il n’est donc pas susceptible de déterminer si une violation des données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ou morale.
Article 9. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant communiquera au responsable de traitement la documentation pertinente pour la réalisation d’analyses d’impact relative à la protection des données par ce dernier, s’agissant uniquement des aspects dont le sous-traitant à la charge, c’est-à-dire, pour le sous-traitant, l’hébergement des données.
Le sous-traitant aide dans la mesure du possible et raisonnablement le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle en fournissant la documentation nécessaire.
Article 10. Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
· Classification et contrôle du patrimoine informationnel :
Désignation des propriétaires de l’information, de la classification de chaque information, des règles de sécurité associées à chaque classe d’information et de l’inventaire.
· Sécurité du personnel :
ONTOMANTICS a élaboré un plan de sensibilisation à la sécurité, destiné à l’ensemble des collaborateurs et adapté à la fonction de chacun.
· La politique de sécurité :
Ces principes étant :
o Tout ce qui n’est pas explicitement autorisé est interdit,
o Il n’y a jamais de connexion directe entre le(les) réseau(x) protégés et interne (firewall),
o Les équipements connectés sur le réseau interne sont « invisibles » d’internet,
o Les communications privées entre les différents sites à travers un réseau externe (ie. non géré par ONTOMANTICS) sont protégées (par exemple via un VPN),
· L’accès aux services :
ONTOMANTICS s’engage à mettre en œuvre tous les moyens nécessaires afin d’assurer la connexion permanente des machines d’hébergement au réseau Internet sous réserve d’opérations de maintenance ou de pannes éventuelles. Afin de procéder à des opérations de maintenance, ONTOMANTICS pourra suspendre le fonctionnement de ses services, après en avoir averti le Client par courriel. Le Client ne pourra prétendre à aucun dédommagement à ce titre, les opérations concernées ayant pour but d’entretenir et/ou d’améliorer le service d’hébergement dont il bénéficie.
ONTOMANTICS met à la disposition du Client un espace de stockage conforme à l’offre souscrit par ce dernier sur le compte d’hébergement mutualisé ainsi qu’une interface d’administration de l’hébergement dans le but que le Client mette en ligne les contenus de son choix et les administre sous sa seule responsabilité. L’utilisation totale par le Client de son espace de stockage pouvant entraîner l’interruption de certains services, ONTOMANTICS ne pourra aucunement être tenue pour responsable des interruptions ou suspensions des services provoquées par des dépassements de quota.
Il est rappelé que dans le cadre de la prestation d’hébergement, le responsable du traitement décide lui-même de la politique de sécurité à laquelle il souscrit et qui peut être plus ou moins étendue selon les options choisies (et notamment souscription à un firewall, etc.). Les mesures d’ONTOMANTICS ne se substituent pas aux mesures de sécurité que doit prendre le responsable de traitement pour les traitements de données à caractère personnel afin de s’assurer de la conformité de ses traitements au RGPD.
Article 11. Sort des données à l’issue de la relation commerciale
Le sort des données à la fin de la relation contractuelle entre ONTOMANTICS et le Client est précisé aux conditions générales ONTOMANTICS.
Article 12. Propriété des Logiciels ONTOMANTICS
Les logiciels ONTOMANTICS sont la propriété exclusive de la société ONTOMANTICS SAS.
Le Client ne peut pas modifier, adapter, traduire lesdits logiciels. En aucun cas, le Client ne doit tenter d’accéder au code source. Le Client ne peut pas décompiler ou analyser les logiciels.
Le Client est responsable de l’installation des logiciels. Le Client ne peut pas transférer son droit non exclusif d’utilisation des logiciels à une autre partie.
Le Client ne peut pas distribuer des copies des logiciels à une autre partie.
Les logiciels ONTOMANTICS sont fournis tels quels, sans garantie d’aucune sorte. ONTOMANTICS exclut toute garantie en ce qui concerne lesdits logiciels.
En aucun cas, ONTOMANTICS ne pourra être tenu pour responsable des dommages directs ou indirects, voire des dommages consécutifs à l’utilisation des logiciels. ONTOMANTICS n’est pas responsable des résultats des erreurs ou des omissions qui peuvent être produits par les logiciels.
ONTOMANTICS n’est pas dans l’obligation de corriger les erreurs ou un comportement inattendu des logiciels, de modifier les logiciels ou d’ajouter des fonctionnalités.
Ces logiciels contiennent les fichiers d’accompagnement et les restrictions d’utilisation d’autres technologies tierces. En utilisant les Logiciels, vous acceptez les termes et conditions de ces licences.
Article 13. Responsabilité du sous-traitant vis-à-vis du responsable de traitement
ONTOMANTICS n’est tenue qu’à une obligation de moyens.
Il incombe au Client d’effectuer régulièrement la sauvegarde de ses données, fichiers, programmes et informations de toute nature dépendant de son espace d’hébergement. En cas de destruction accidentelle des données, fichiers, programmes et informations de toute nature relatives au Client, ONTOMANTICS ne sera en aucun cas tenue responsable et/ou tenue de les restituer.
ONTOMANTICS ne saurait en aucun cas être tenu pour responsable d’aucun préjudice indirect ou immatériels ou perte de chiffre d’affaires, alors même qu’il aurait été avisé de la possibilité de survenance de tels dommages, notamment, à titre purement illustratif et non limitatif, de manque à gagner, des pertes d’exploitation, des pertes de marchés, préjudice moral, trouvant leur origine ou étant la conséquence du présent contrat, ni des dommages causés à des personnes ou à des biens distincts de l’objet du contrat.
ONTOMANTICS pourra être tenu pour responsable des dommages directs, personnels et certains subis par le Client résultant d’une faute prouvée. Dans le cas où la responsabilité de ONTOMANTICS serait retenue, il est expressément convenu que le total des indemnisations qui seraient mises à sa charge, toutes causes confondues, est limité au montant HT de la facturation émise au cours de la période du contrat en cours.
Article 14. Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
1. Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant.
2. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant.
3. Superviser le traitement auprès du sous-traitant conformément au Contrat.
Article 15. Portée des conditions générales d’échange de données
Les présentes conditions générales d’hébergement de données à caractère personnel dans le cadre du Règlement général de protection des données entrant en vigueur le 25 mai 2018 et les Conditions Générales ONTOMANTICS ou le contrat particulier conclu avec le Client forment un document contractuel unique.
Toutes les stipulations des Conditions Générales ONTOMANTICS ou du contrat particulier auxquelles les présentes Conditions Générales d’hébergement de données à caractère personnel ne déroge pas ou non contradictoires avec les termes des Conditions Générales d’hébergement de données à caractère personnel demeurent pleinement applicables entre les parties. En cas de divergence entre les Conditions Générales ONTOMANTICS et les présents Conditions Générales d’hébergement de données à caractère personnel, les présentes Conditions Générales d’hébergement de données à caractère personnel prévaudront à compter de leur date d’entrée en vigueur.
Si l’une des stipulations des conditions générales d’hébergement de données à caractère personnel s’avérait nulle, au regard d’une règle de droit en vigueur ou d’une décision judiciaire devenue définitive, elle serait réputée non écrite, sans pour autant entraîner la nullité des présentes conditions générales d’hébergement de données à caractère personnel ni altérer la validité de ses autres dispositions.
Article 16. Droit applicable et attribution de compétence
La Loi applicable au présent contrat est la loi Française.
En cas de litige quelconque concernant l’exécution d’une prestation et/ou d’une commande ou l’interprétation et/ou l’exécution des présentes conditions générales, les parties s’engagent à rechercher une solution amiable.
Si une telle solution n’a pu être trouvée, le litige sera de la compétence exclusive des Tribunaux de Commerce d’ORLEANS, nonobstant la pluralité de défendeurs ou d’appel en garantie ou encore de référé.
La déclaration de nullité ou d’inefficacité d’une quelconque stipulation du présent contrat n’entraîne pas de plein droit la nullité ou l’inefficacité des autres stipulations.
La tolérance d’une partie aux inexécutions de l’autre partie ne fait pas présumer une future tolérance de la même ou d’autres inexécutions.