CG Core Us en pdf
CONDITIONS GENERALES DE PRESTATIONS DE SERVICE D’HEBERGEMENT
ET DE SERVICES ASSOCIES
DE CORE US
Les présentes conditions générales de prestations de service (ci-après les « CG ») sont proposées par CORE US, société à responsabilité limitée à associé unique, au capital social de 2.000 euros, dont le siège social est situé 71 rue Francis de Pressensé 69100 VILLEURBANNE immatriculée au Registre du Commerce et des Sociétés de LYON sous le numéro 891 269 599 (ci-après « CORE US »).
CORE US propose aux entreprises, de toute taille et exerçant leur activité principale dans tout type de secteurs, (i) des services d’hébergement, sur des serveurs mutualisés ou dédiés (ii) des services d’infogérance (ci-après les « Prestations »).
1. APPLICATION ET OPPOSABILITÉ DES CG
1.1 Les présentes CG s’appliquent, sans restriction ni réserve, à l’ensemble des Prestations réalisées par CORE US au profit de tout client, personne physique ou morale, agissant dans le cadre de son activité professionnelle (ci-après le « Client »).
1.2 Ces CG sont systématiquement notifiées au Client lors de l’envoi du devis établi par CORE US. En conséquence, la validation d’une commande de Prestations implique nécessairement l’acceptation entière et sans réserve des présentes CG par le Client.
1.3 Le fait que CORE US ne se prévale pas, à un moment donné, de l’une quelconque des dispositions des présentes CG, ne peut être interprété comme valant renonciation à s’en prévaloir ultérieurement.
2. COMMANDE DE PRESTATIONS
2.1 Le Client peut prendre contact avec CORE US, gratuitement et directement en ligne sur le site Internet www.core-us.fr afin de solliciter l’établissement d’un devis détaillé pour la réalisation des Prestations. Le devis établi est systématiquement adressé au Client avec les présentes CG.
2.2 Les commandes de Prestations doivent être formalisées par écrit. A réception du devis, le Client devra, s’il accepte les termes de ce devis, le retourner à CORE US, dûment daté et signé. La validation et la signature du devis impliquent l’acceptation des présentes CG, dans leur intégralité et sans réserve, et constituent une preuve de l’engagement du Client.
2.3 Aucune annulation n’est possible après signature du devis par le Client. Toute demande de modification ou d’adaptation de tout ou partie des Prestations commandées doit impérativement être notifiée à CORE US, par écrit et dans les plus brefs délais. De telles modifications ou adaptations de la commande de Prestations seront susceptibles de faire l’objet d’un supplément chiffré, communiqué au Client par l’intermédiaire d’un nouveau devis.
3. PRIX ET MODALITÉS DE REGLEMENT
Règlement des Prestations
3.1 Les Prestations sont fournies au Client selon les tarifs figurant sur le devis, préalablement établi par CORE US et dûment accepté et signé par le Client.
3.2 Ces tarifs sont indiqués nets, hors taxes et toutes taxes comprises et sont payables en euros. La plupart des Prestations sont rendues sur une base mensuelle, sans durée d’engagement, sauf précision contraire indiquée dans le devis. Le site internet www.core-us.fr présente l’ensemble des offres proposées par CORE US.
3.3 Un acompte sur le montant total des Prestations pourra être demandé au Client et indiqué sur le devis.
3.4 Toute autre commande de Prestations, non initialement convenue entre les parties, fera l’objet d’un devis chiffré complémentaire.
Modalités de règlement
3.5 Quel que soit le type de Prestations commandées par le Client, CORE US lui adressera systématiquement une facture, conforme aux dispositions de l’article L.441-3 du Code de commerce.
3.6 Le Client sera tenu de régler cette facture dans un délai de 30 jours fin de mois à compter de la date d’émission de la facture.
3.7 Tout retard ou défaut de paiement à l’échéance des sommes dues par le Client entraîne, de plein droit, sans mise en demeure préalable et sans préjudice de dommages et intérêts éventuels, le jour suivant la date de règlement figurant sur la facture, exigibilité de pénalités retard calculées au taux de trois (3) fois le taux d’intérêt légal en vigueur. Le Client est en outre de plein droit redevable, à l'égard de CORE US, d'une indemnité forfaitaire pour frais de recouvrement de quarante (40) euros, conformément à l’article D.441-5 du Code de commerce.
3.8 En cas de défaut de paiement à l’échéance, CORE US se réserve également le droit de suspendre temporairement, sans mise en demeure préalable et de plein droit, la fourniture des Prestations commandées par le Client et en cours de réalisation, sans préjudice de toute autre voie d’action. Cette suspension pourra être définitive après un
mois de retard de paiement.
4. REALISATION DES PRESTATIONS
4.1 CORE US s’engage à apporter tout le soin et la diligence nécessaires à la fourniture de Prestations de qualité, conformément au devis accepté par le Client et dans le respect des règles de l’art et de son activité.
4.2 CORE US propose plusieurs solutions d’hébergement : hébergement mutualisé, serveurs virtuels ou serveurs dédiés.
4.3 Sauvegarde : Dans le cadre de tous ces services d’hébergements mutualisés, CORE US propose une sauvegarde journalière afin de permettre la reconstitution des données à J-1 en cas de sinistre. Les sauvegardes sont conservées 30 jours calendaires maximum et à minima 14 jours. Dans ce délai, le Client peut demander communication d’une copie de sauvegarde,
ainsi que la reconstitution de ses données en cas d’incident ayant provoqué la détérioration ou la perte total ou partielle des données. Si le Client choisit d’effectuer seul ses sauvegardes, il assume seul la responsabilité en découlant. En tout état de cause, les copies sauvegardées ne sont pas testées. Pour éviter toute perte accidentelle de données, CORE US recommande au client de procéder à un test de restauration au minimum une fois par an. CORE US peut se charger de procéder à ce test de restauration, sur devis complémentaire. A défaut d’avoir souscrit cette option payante,
le Client ne pourra pas engager la responsabilité de CORE US en cas de copie corrompue ou de perte accidentelle de données.
4.4 Mise à disposition du serveur dédié : CORE US s’engage à mettre à la disposition du Client un serveur qui lui est exclusivement réservé et dont les caractéristiques techniques, mentionnées dans le devis, sont choisies par le Client. Ce serveur dédié restera physiquement installé, pendant toute la durée des prestations, dans les locaux de CORE
US qui en assurera la maintenance. CORE US s’engage à mettre en oeuvre tout son possible pour empêcher les accès non autorisés au serveur dédié. Le Client déclare être informé que cette obligation est limitée d’une part du fait des failles de sécurité que présente tout réseau informatique même lorsqu’il est en tous points conforme à l’état de
l’art, et d’autre part par le fait que CORE US n’a pas la maîtrise totale du serveur dédié si celui-ci est administré par le Client.
4.5 CORE US propose, pour les hébergements sur des serveurs virtuels dédiés et physiques dédiés, également des services d’infogérance avec un nombre d’heures compris dans le pack mensuel. Ces services consistent à procéder à la sauvegarde régulière des serveurs, s’assurer que la sauvegarde a bien fonctionné (sans toutefois procéder au test
de restauration, proposé sur option payante) surveiller l’activité des serveurs, surveiller et analyser les logs d’évènement, installer les correctifs de sécurité si nécessaire, et plus généralement assurer les tâches d’entretien du serveur. Attention, faute d’avoir souscrit au forfait d’infogérance, le Client ne bénéficie pas de sauvegardes automatiques dans
le cadre des services d’hébergements sur serveurs virtuels ou dédiés ou des services d’infogérance décrits ci-dessus. En conséquence, le Client s’engage à effectuer les mises à jour et à installer les correctifs liés à son serveur et à son site ou applicatif. A défaut, en cas de dommage subi par CORE US du fait d’incidents de sécurité, la
responsabilité du Client pourrait être engagée par CORE US.
4.6 En sa qualité d'intermédiaire technique fournissant des solutions d'hébergement sur des serveurs virtuels et dédiés (hors cas des hébergements mutualisés), CORE US s‘engage à :
* Faire son possible pour assurer l'accès au service (réseau et structure), à hauteur de 99,95% par mois, sauf indisponibilités planifiées par CORE US et dont le Client sera averti au préalable 48 heures à l'avance, cas de force majeure, ou d'un fait extérieur ;
* Intervenir rapidement en cas de panne matérielle ou réseau du ressort de CORE US pour rétablir le service, et dans la mesure du possible, dans les deux heures ouvrées à compter de la connaissance par CORE US de l'incident.
4.7 En toute hypothèse, le Client est averti des aléas techniques inhérents à l’internet et des ralentissements ou interruptions d’accès qui peuvent en résulter. En outre, le Client est seul responsable de l’effectivité de sa connexion web.
5. OBLIGATIONS DU CLIENT
5.1 Dans le cadre de l’exécution des présentes, le Client s’engage à :
* Transmettre à CORE US, à première demande, l’ensemble des documents et informations nécessaire à l’exécution des Prestations ;
* Apporter à CORE US toute l’assistance raisonnablement nécessaire à la bonne exécution des Prestations, dans les meilleures conditions ;
* Tenir compte et respecter l’ensemble des observations, précautions, exigences et consignes susceptibles d’avoir été formulées par CORE US au sujet des Prestations, en particulier s’agissant des sauvegardes de données à réaliser ;
* Respecter et faire respecter par ses préposés les droits des tiers et la règlementation en vigueur tant en ce qui concerne le contenu hébergé que l’exploitation du serveur dédié ;
* Procéder au règlement de CORE US en contrepartie des Prestations fournies à son profit, dans les conditions convenues entre les parties.
6. DUREE
6.1 La plupart des Prestations sont rendues sur une base mensuelle, sans durée d’engagement, sauf précision contraire indiquée dans le devis.
6.2 La résiliation des Prestations, par le Client, devra être effectuée, par tout moyen écrit, avant le 15 du mois précédent celui de la prise en compte effective. En cas de résiliation intervenant après le 15 du mois N, celle-ci ne pourra être pris en compte qu’à partir du mois N+2.
7. REVERSIBILITE DES DONNEES
7.1 En cas de cessation des relations contractuelles établies entre le Client et CORE US, pour quelque cause que ce soit, le Client disposera d’un délai de 10 jours ouvrés pour effectuer à distance la copie du contenu hébergé sur le serveur.
7.2 Passé ce délai, CORE US pourra librement disposer du serveur dédié et effacera l’intégralité des données s’y trouvant.
7.3 Le serveur dédié reste, après la fin du contrat, la propriété exclusive de CORE US.
8. RESPONSABILITÉ
8.1 Chacune des Parties doit veiller au bon déroulement de l’exécution des présentes et assume la responsabilité des conséquences résultant de ses fautes, erreurs ou omissions et causant un dommage direct à l’autre partie.
Responsabilité du Client.
8.2 Le Client est seul responsable de la qualité, de la précision, de la pertinence et de l’exactitude des données et informations communiquées à CORE US. La responsabilité de CORE US ne saurait être engagée à ce titre.
8.3 Le Client est seul responsable de la mise en place de mesures effectives et adéquates de protection et de sécurité de son système informatique, et tout le matériel y afférent.
8.4 Le Client reconnaît être seul responsable à l’égard de CORE US et, le cas échéant, des tiers, de tout dommage, de quelque nature que ce soit, qui lui soit imputable tel que l’absence de souscription des options de sauvegarde ou l’absence de protection effective des accès à distance à son matériel informatique. En conséquence, le Client
s’engage à indemniser CORE US de toutes les conséquences pouvant en découler, en raison des dommages corporels, matériels et/ou immatériels, consécutifs ou non consécutifs, causés aux tiers, à CORE US ou à toute autre personne intervenant afin de fournir les Prestations au Client, et/ou à leurs biens. Le Client garantit CORE US de tout
recours contre cette dernière à ce titre.
8.5 Le Client garantit CORE US contre toute condamnation qui pourrait être prononcée à son encontre, du fait du contenu hébergé notamment sur le fondement de la règlementation applicable aux fournisseurs d’hébergement.
Responsabilité de CORE US
8.6 CORE US met en oeuvre l’ensemble des mesures nécessaires et propres à fournir au Client, dans des conditions optimales, des Prestations de qualité. CORE US n’a toutefois qu’une obligation de moyens à ce titre.
8.7 CORE US ne saurait voir sa responsabilité engagée en cas de dommage résultant du défaut de respect et de mise en oeuvre des consignes fournies par CORE US, notamment concernant les sauvegardes à réaliser, ou la protection des accès distants dont le Client assume seul la responsabilité.
8.8 CORE US n’est tenue de réparer que les dommages matériels causés au Client et qui résulteraient de fautes imputables à CORE US commises au cours de la réalisation des Prestations. A l’inverse, la responsabilité de CORE US ne peut en aucun cas être engagée en cas de faute imputable au Client ou en cas de force majeure.
8.9 Dans l’hypothèse où la responsabilité de CORE US serait engagée, elle ne pourra, en tout état de cause, excéder la somme équivalent aux six derniers mois de prestations réglées par le Client.
9. FORCE MAJEURE
9.1 La « force majeure » se définit comme tout évènement échappant au contrôle de l’une des parties et insusceptible d’être raisonnablement prévu lors de la conclusion des présentes CG. Un tel évènement sera caractérisé dès lors que la partie, victime d’un tel évènement, serait empêchée d’exécuter convenablement ses obligations
contractuelles, et ce, malgré la mise en oeuvre de mesures adéquates et appropriées destinées à en limiter les effets.
9.2 Aucune des deux parties ne sera tenue pour responsable vis-à-vis de l'autre de la nonexécution ou des retards dans l'exécution d'une obligation née des présentes CG qui seraient dus au fait de l'autre partie consécutivement à la survenance d'un cas de force majeure, tel que reconnu et défini par la jurisprudence française.
9.3 Le cas de force majeure suspend les obligations nées des présentes CG pendant toute la durée de son existence, et aucune des parties ne pourra, pendant cette période, valablement se prévaloir de l’existence d’un tel cas de force majeure au sens de l’article 1218 du Code civil afin de justifier la fin de sa relation contractuelle avec l’autre partie.
Toutefois, si le cas de force majeure avait une durée d'existence supérieure à trente (30) jours consécutifs, il ouvrirait droit à la résiliation de plein droit des présentes CG par l'une ou l'autre des parties, huit (8) jours après l'envoi d'une lettre recommandée avec avis de réception notifiant cette décision.
10. ASSURANCES
10.1 Chacune des parties s’engage et garantit à l’autre partie avoir souscrit une police d’assurance auprès d’une compagnie d’assurance notoirement solvable, garantissant sa responsabilité civile professionnelle pour toutes les activités et obligations découlant de l’exécution des présentes et couvrant, plus particulièrement, les conséquences
pécuniaires de sa responsabilité civile professionnelle pour tous les dommages de quelque nature qu’ils soient causés à l’autre partie et/ou à tout tiers quel qu’il soit dans le cadre de l’exécution des présentes.
10.2 Chacune des parties s'engage à maintenir cette police d’assurance pendant toute la durée d’application des présentes et à en apporter la preuve à l’autre partie, à sa demande, en lui fournissant une attestation de ses assureurs, énumérant les garanties souscrites, leur montant et leur durée de validité.
10.3 Toute modification, suspension, résolution ou résiliation de cette police d'assurance, pour quelque cause que ce soit devra être signalée à l’autre partie, dans les plus brefs délais.
11. CONFIDENTIALITÉ
11.1 Toutes les informations, spécifications et autres données, de quelque nature qu’elles soient, que l’une des parties met à la disposition de l’autre partie, par écrit ou verbalement, dans le cadre de l’exécution des présentes CG, sont strictement confidentielles et doivent être traitées comme telles.
11.2 En conséquence, ces informations confidentielles ne doivent en aucun cas être divulguées, sous quelque forme et à quelque personne que ce soit, sauf si elles sont tombées dans le domaine public. Par exception, les informations confidentielles concernant le Client et/ou transmises par ce dernier peuvent être divulguées aux seuls membres du personnel de CORE US destinés à intervenir sur le site Internet du Client, existant ou en développement, et plus globalement, dans le cadre de la fourniture des Prestations, mais seulement dans la mesure où cela est strictement nécessaire pour l’exécution des présentes.
11.3 Sur simple demande de l’une des parties et en cas de résiliation des présentes CG, toute documentation écrite communiquée dans le cadre de l’exécution des présentes, en vue de la réalisation et fourniture des Prestations, doit être restituée sans délais.
11.4 Cette interdiction est valable pendant toute la durée de l’exécution des présentes CG et, par conséquent, pendant toute la durée de fourniture des Prestations, et sans limitation de durée après leur expiration
12. COMMUNICATIONS ET PUBLICATIONS
12.1 Sauf stipulation contraire, le Client autorise expressément CORE US à communiquer et/ou effectuer des publications, notamment par l’intermédiaire de son site Internet, sur les Prestations qu’elle aura pu réaliser au profit du Client, étant entendu que CORE US s’interdit de divulguer, à ce titre, toute information confidentielle appartenant au Client.
13. PROTECTION DES DONNÉES A CARACTERE PERSONNEL
13.1 Le Client est informé que les relations commerciales avec CORE US sont susceptibles de donner lieu à la collecte et au traitement automatisé de données à caractère personnel, par CORE US, le concernant et/ou concernant ses représentants et/ou interlocuteurs, et dont l'utilisation est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'Informatique, aux Fichiers et aux Libertés, telle que modifiée par la loi n°2016-1321 du 7 octobre 2016, et au Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »).
13.2 Les informations contenant des données à caractère personnel qui sont demandées aux représentants et/ou interlocuteurs du Client ou au Client lui-même (lorsqu’il s’agit d’une personne physique) sont strictement nécessaires à CORE US afin d’établir le devis lié aux Prestations demandées par le Client et de lui fournir lesdites Prestations dans les
meilleures conditions. Aucune prospection commerciale ne sera adressée au Client sans son accord préalable. En outre, aucune information ou donnée sensible concernant le Client (ou ses représentants et/ou interlocuteurs) n’est requise aux fins de l’exécution des présentes CG.
13.3 Les données ainsi collectées sont conservées par CORE US pour les finalités décrites ci-dessus. Aucune de ces informations et/ou données à caractère personnel concernant le Client (ou ses représentants et/ou interlocuteurs) ne sera transmise à des tiers, à l’exception des membres du personnel de CORE US destiné à intervenir afin de fournir les
Prestations et ce, en tout état de cause, dans la limite des informations strictement nécessaires à la fourniture de ces Prestations.
13.4 Ces données à caractère personnel collectées par CORE US sont conservées pendant une durée de trois (3) ans à compter de la fin de la relation contractuelle établie entre CORE US et le Client.
13.5 Sur autorisation expresse du Client, de ses représentants et/ou interlocuteurs, CORE US pourra leur adresser des informations commerciales relatives à sa société, ses services et ses Prestations. Toutefois, le Client et/ou ses représentants et/ou interlocuteurs peuvent s’opposer, pour un motif légitime, au traitement des informations les concernant, y compris à des fins de prospection commerciale.
13.6 Le Client et/ou ses représentants et/ou ses interlocuteurs ayant communiqué des données à caractère personnel les concernant à CORE US, dans le cadre de l’exécution des présentes, disposent d’un droit d’accès, d’opposition, de rectification et d’effacement des données personnelles les concernant, de la possibilité de solliciter une limitation du traitement des données sous certaines conditions, du droit de s’opposer à tout moment au traitement de leurs données à caractère personnel à des fins de prospection (y compris au profilage), ainsi que du droit de recevoir les données les
concernant dans un format structuré, couramment utilisé et lisible par machine (droit à la portabilité des données).
13.7 Ces droits peuvent être exercés dans les conditions légales en vigueur, en adressant :
* Soit un email à CORE US à l’adresse électronique suivante : data@core-us.fr
* Soit un courrier à l’adresse postale suivante : 71, rue Francis de Pressensé 69100 VILLEURBANNE.
13.8 CORE US s’engage à fournir au Client, à ses représentants et/ou interlocuteurs toutes informations sur les mesures prises dans le prolongement d’une demande formulée vis-à-vis du traitement des données à caractère personnel qu’elle a collectées auprès du Client, de ses représentants et/ou de ses interlocuteurs et ce, dans un délai d’un (1) mois à compter de la date de réception de la demande, étant précisé que ce délai peut être prolongé de deux (2) mois au regard de la pluralité et de la complexité des demandes.
13.9 Toute violation de données à caractère personnel concernant le Client et/ou ses représentants et/ou ses interlocuteurs et susceptible de produire un risque élevé pour leurs droits et libertés leur sera communiquée dans les meilleurs délais.
14. CONVENTION DE SOUS-TRAITANCE AU TITRE DU RGPD
14.1 Dans le cadre des prestations d’hébergement, CORE US est susceptible de se voir communiquer par le Client des documents, informations et/ou autres fichiers susceptibles de contenir des données à caractère personnel et de traiter ces dernières conformément aux instructions documentées du Client. Dans cette hypothèse, les données à caractère personnel ainsi recensées sont traitées par le CORE US, en sa qualité de « sous-traitant » au sens du RGPD.
14.2 Conformément aux obligations lui incombant en sa qualité de sous-traitant de données à caractère personnel collectées par un tiers, CORE US assure au Client mettre en oeuvre toutes les mesures et les garanties nécessaires et suffisantes afin de collecter et d’exploiter les données à caractère personnel concernées dans le strict cadre de
l’exécution des présentes CGPS et conformément aux exigences légales et réglementaires applicables en matière de protection des données à caractère personnel et des droits des personnes concernées.
14.3 CORE US met à disposition de ses Clients, en Annexe aux présentes CG, un contrat de sous-traitance conformément aux dispositions de l’article 28 du RGPD.
15. AUTONOMIE DES STIPULATIONS CONTRACTUELLES
15.1 Si une ou plusieurs stipulations des présentes CG sont tenues pour non valides ou déclarées comme telles en application d'une loi, d'un règlement ou à la suite d'une décision définitive d'une juridiction compétente, elles seront réputées non écrites.
15.2 Toutefois, cela ne saurait porter atteinte aux autres stipulations des présentes CG lesquelles demeureront en vigueur et continueront de produire leur plein et entier effet pour autant que l’économie générale des présentes CG puisse être sauvegardée.
16. DROIT APPLICABLE ET JURIDICTION COMPÉTENTE
16.1 Les présentes CG sont soumises au droit français.
16.2 Tout différend auquel les présentes CG (ou l’une de leurs clauses) et/ou les relations entre les parties pourraient donner lieu sera soumis aux juridictions compétentes de Lyon, y compris en matière de référé, de pluralité de défendeurs ou d’appel en garantie.
Annexe 1 - Contrat de sous-traitance relatif au traitement de données à caractère personnel par CORE US (Article 28 du RGPD)
Dans le cadre de l’exécution du contrat auquel est jointe la présente Annexe, CORE US est
susceptible de traiter, en qualité de sous-traitant, des Données à caractère personnel pour le
compte et selon les instructions du Client, agissant quant à lui en qualité de Responsable du
traitement.
En toute hypothèse, ces Données à caractère personnel seront traitées par CORE US dans le
respect de la législation en vigueur en matière de protection des Données à caractère
personnel et, plus particulièrement :
* des dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux
Fichiers et aux Libertés ;
* du Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et
à la libre circulation de ces données (RGPD), ainsi que
* des règles, recommandations ou codes de conduite d’un Etat membre adoptés par
les autorités chargées de la protection des données.
Les termes commençant par une lettre majuscule, utilisés au sein de la présente Annexe mais
n’ayant fait l’objet d’aucune définition au préalable, notamment au sein du Contrat auquel
la présente Annexe est jointe (tels que Violation de Données à caractère personnel,
Responsable du traitement, Sous-traitant, Personne concernée, etc.) auront le sens qui leur
est attribué par la législation en vigueur sur la protection des Données à caractère personnel
et, notamment, aux termes de l’article 4 du RGPD.
1. Désignation d’un délégué à la protection des données
CORE US garantit au Client avoir désigné un délégué à la protection des données, lequel est
tenu de remplir ses fonctions conformément aux articles 38 et 39 du RGPD et dont les
coordonnées sont les suivantes : Monsieur Jérôme LAGRUE.
2. Objet et durée du traitement des Données à caractère personnel
Objet des traitements réalisés
✓ Conformément à l’article 12 du Contrat, des Données à caractère personnel sont susceptibles d’être traitées par CORE US dans le cadre de l’exécution des Prestations lui étant confiées par le Client et telles que définies par le devis et les conditions générales auxquels est jointe la présente annexe.
✓ Toutes instructions orales données à ce titre par le Client seront immédiatement confirmées à CORE US, au minimum par écrit.
✓ Si CORE US considère qu’une instruction donnée est contraire à la législation en vigueur sur la protection des Données à caractère personnel, il en informe immédiatement le Client. CORE US est alors autorisée à suspendre l’exécution des instructions données jusqu’à ce que le Client les confirme ou les modifie.
Durée des traitements réalisés
✓ Les Données à caractère personnel concernées sont traitées par CORE US pendant la durée du Contrat.
3. Natures et finalités des traitements des Données à caractère personnel réalisés par CORE US en qualité de Sous-traitant
La nature et la finalité des traitements des Données à caractère personnel par CORE US pour le compte du Client sont définies au sein du Contrat. CORE US, en sa qualité de sous-traitant au sens du RGPD, ainsi que tout membre de son
personnel ou collaborateur ne traitent les Données à caractère personnel leur étant communiquées que sur instruction documentée du Client ou, s’ils y sont tenus, en vertu de la réglementation applicable. À ce titre, CORE US s’interdit d’exploiter tout ou partie des Données à caractère personnel concernées (y compris de manière groupée) pour toute
autre finalité distincte de celles définies par le Client et visées au sein du Contrat et ce, y compris pour toute utilisation à des fins commerciales, analytiques, statistiques, de recherches et développement, de marketing direct ou à toute autre fin.
CORE US garantit au Client que les traitements des Données à caractère personnel sont confiés à des collaborateurs ou membres de son personnel soumis à une obligation légale adéquate de confidentialité qu’ils se sont expressément engagés à respecter et possédant de bonnes connaissances en matière de protection des Données à caractère personnel adaptées à leur fonction. Dans le respect de la réglementation en vigueur en matière de protection des Données à caractère personnel, CORE US doit tenir un registre de l’ensemble des activités de traitement
effectuées pour le compte de Client, y compris celles qui sont sous-traitées à des soustraitants autorisés par Client. Cette dernière se réserve le droit d’accéder à ce registre, mis par CORE US à sa disposition et à celle de la Commission Nationale de l’Informatique et des Libertés chargée de la protection des données. CORE US s’engage à collaborer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.
4. Catégories de Données à caractère personnel et de Personnes concernées par les traitements réalisés par CORE US
Les Données à caractère personnel traitées par CORE US pour le compte du Client comprend les catégories de Données à caractère personnel suivants :
X Données à caractère personnel de référence (Données à caractère personnel clés)
X Coordonnées
X Informations contractuelles clés (relations contractuelles/juridiques, intérêts contractuels/liés à des produits)
X Données relatives à la facturation des clients
□ Informations divulguées (obtenues auprès de tiers, par exemple, des agences d’information sur le crédit ou de répertoires publics, ...)
□ Autres : ____________________________________________________________________
Les catégories de Personnes concernées par le traitement desdites Données à caractère personnel incluent ce qui suit :
X Clients
X Prospects
X Salariés
X Prestataires
X Interlocuteurs
Toutes autres catégories de Données à caractère personnel et/ou de Personnes concernées dont les données devraient être traitées par CORE US lui seront expressément communiquées au préalable par le Client.
5. Modalités de transferts des Données à caractère personnel
Les traitements de Données à caractère personnel réalisés par CORE US pour le compte du Client seront effectués exclusivement au sein d’un État Membre de l’Espace économique européen (EEE).
Tout transfert de Données à caractère personnel vers un pays tiers ou une organisation internationale ne peut être mis en oeuvre que sur instruction documentée du Client et requiert le consentement écrit et préalable de ce dernier. Dans une telle hypothèse, ce transfert de Données à caractère personnel peut avoir lieu uniquement si les conditions spécifiques prévues aux articles 44 et suivants du RGPD ont été remplies. En cas de transfert de Données à caractère personnel en dehors de l’EEE, l’ensemble des documents et informations appropriés et afférents à ce transfert seront fournis au Client.
6. Sécurité du traitement des Données à caractère personnel
CORE US garantit au Client qu’elle présente les garanties suffisantes et a mis en oeuvre toutes les mesures appropriées afin de garantir un niveau de protection adapté au risque en matière de confidentialité, d’intégrité, de disponibilité et de résilience des systèmes, en particulier afin d’empêcher toute fuite ou perte de Données à caractère personnel ou
encore que celles-ci ne soient faussées, endommagées ou communiquées à des tiers non autorisés.
A cet effet, CORE US se conforme et met en application toutes les mesures techniques et organisationnelles visées à l’article 32 du RGPD, et, le cas échéant, renforce les mesures d’ores et déjà prises afin d’assurer la sécurité effective et efficace des traitements de données réalisés pour le compte du Client.
En vertu de l’article 32 du RGPD, de telles mesures sont prises en considération de « l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » et comprennent :
« a) La pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».
CORE US fournit au Client tous documents justificatifs attestant que les mesures techniques et organisationnelles requises ont été prises dans le cadre de ses traitements de Données à caractère personnel effectués pour le compte du Client. Le Client peut solliciter la remise de ces documents par CORE US afin de pouvoir procéder à leur vérification. Dans l’hypothèse où la vérification réalisée par le Client démontrerait qu’il convient d’apporter des modifications à l’un ou plusieurs de ces documents, celles-ci seront mises en oeuvre d’un commun accord.
Il est entendu que les mesures techniques et organisationnelles prises par CORE US sont susceptibles d’être développées, modifiées et/ou de faire l’objet d’améliorations techniques, étant précisé que le niveau de sécurité des mesures rectifiées doit être identique ou supérieur à celui des mesures initialement mises en place. Les modifications substantielles sont justifiées et font l’objet d’une autorisation préalable et écrite du Client.
CORE US s’engage à procéder à un contrôle régulier des procédures internes ainsi que des mesures techniques et organisationnelles afin de s’assurer que le traitement relevant de sa responsabilité est réalisé conformément aux exigences de la législation en vigueur sur la protection des Données à caractère personnel et de la protection des droits des Personnes concernées.
7. Droits des Personnes concernées et demandes formées par des autorités compétentes
CORE US s’engage à répondre, dans les meilleurs délais, à toute demande formulée par le Client concernant des Données à caractère personnel traitées pour le compte de cette dernière, afin de lui permettre d’examiner, dans les délais prévus par les lois et règlements en vigueur, toute demande adressée par des Personnes concernées, en particulier quant à l’exercice des droits donc elles disposent vis-à-vis de leurs données et de leur apporter les
réponses adéquates.
CORE US s’interdit, de sa propre initiative, de répondre à toute demande formulée directement par des Personnes concernées ou par les autorités compétentes, sauf lorsque le Client lui a fait expressément et préalablement la demande par écrit. En sa qualité de sous-traitant, CORE US s’engage à aider le Client à assurer son obligation de
répondre aux demandes formulées par les Personnes concernées quant à l’exercice de leurs droits.
8. Recours à la sous-traitance
Dans le cadre des traitements de Données à caractère personnel réalisés par CORE US pour le compte du Client, il est convenu que :
✓ CORE US peut avoir recours aux services de sous-traitants tiers afin de l’assister dans la réalisation des traitements de données personnelles réalisés pour le compte du Client, mais ce, seulement après avoir obtenu l’autorisation préalable, écrite, spécifique et expresse écrite du Client.
□ Le recours à la sous-traitance par CORE US est interdit.
Dans l’hypothèse où la sous-traitance a été expressément autorisée par le Client, CORE US est tenue de :
* Recruter un sous-traitant dans le respect de la législation en vigueur et, en particulier, des dispositions prévues à cet effet par l’article 28 du RGPD ;
* Encadrer l’intervention de ce sous-traitant par le biais de tout contrat approprié et légalement opposable aux parties et prendre toutes les mesures de contrôle appropriées afin d’assurer la protection et la sécurité des Données à caractère
personnel concernées pour tout service sous-traité ;
* Soumettre le sous-traitant concerné aux mêmes obligations que celles incombant à CORE US au titre des présentes en matière de protection des Données à caractère personnel pour le compte du Client.
Si un sous-traitant fournit le service convenu en dehors de l’EEE, CORE US veille au respect par ce dernier de la législation en vigueur en matière de protection des Données à caractère personnel.
Le ou les sous-traitants concernés ne sont autorisés à recruter eux même un autre soustraitant qu’après avoir obtenu le consentement exprès, écrit et préalable de CORE US et du Client.
En toute hypothèse, CORE US est responsable des actes et agissements de ses sous-traitants dans le cadre des traitements de Données à caractère personnel réalisés par ces derniers pour le compte du Client et du respect des obligations leur incombant à ce titre.
9. Droits et pouvoirs de supervision/contrôle du Client
Après en avoir dûment informé CORE US au préalable, le Client peut procéder à des inspections auprès de CORE US afin de s’assurer du respect par cette dernière des obligations lui incombant dans le cadre de ses traitements de Données à caractère personnel en qualité de sous-traitant. Tout contrôle devra toutefois être notifié à CORE US au préalable.
Afin de permettre la réalisation de tels contrôles, CORE US met à la disposition du Client toutes les informations nécessaires afin d’attester du respect des obligations lui incombant et, en particulier, des mesures techniques et organisationnelles mises en oeuvre pour assurer la sécurité et la confidentialité des Données à caractère personnel.
La preuve de la prise des mesures adéquates par CORE US peut être apportée par :
* Le respect des Codes de conduite approuvés, conformément à l’article 40 du RGPD ;
* La certification selon une procédure de certification approuvée, conformément à l’article 42 du RGPD ;
* Les attestations de réalisation d’audit, rapports d’audit ou extraits de rapports d’audit existants fournis par des organismes indépendants (par exemple, un cabinet d’audit, un délégué à la protection des données, un service de sécurité informatique, un auditeur protection des données, un auditeur qualité) ;
* Une certification appropriée obtenue à la suite d’un audit sur la protection des données ou la sécurité informatique (par exemple, selon le BSI-Grundschutz (certification de protection informatique de base développée par l'Office fédéral de la sécurité des technologies de l'information (BSI)) ou la norme ISO/IEC 27001).
S’il s’avère que les mesures de sécurité mises en oeuvre par CORE US et/ou ses sous-traitants ne sont pas suffisantes ou appropriées, ou si ces mesures révèlent l’existence de manquements leur part aux obligations leur incombant en vertu des présentes, CORE US met en oeuvre tous les moyens nécessaires afin de renforcer les mesures prises et/ou mettre fin aux éventuels manquements constatés.
10. Coopération et assistance de CORE US auprès du Client
Pendant toute la durée des traitements de Données à caractère personnel réalisés par CORE US pour le compte du Client, CORE US fournit à cette dernière l’aide et l’assistance nécessaire afin de lui permettre de respecter ses propres obligations lui incombant en qualité de responsable de traitement.
En particulier, CORE US met en oeuvre les moyens nécessaires afin d’aider le Client à assurer le respect de ses obligations afférentes à la sécurité des Données à caractère personnel, aux exigences de notification des Violations de Données à caractère personnel, aux Analyses d'Impact relatives à la Protection des Données et à la consultation préalable de l’autorité de protection des données compétente, telles que visées aux articles 32 à 36 du RGPD.
D’une manière générale, CORE US s’engage à coopérer avec le Client et à l’assister lorsque que cette dernière est tenue de prouver qu’elle se conforme à la législation en vigueur en matière de protection des Données à caractère personnel.
Si CORE US a pu observer ou a été informée de l’existence d’une Violation de Données à caractère personnel, elle en informe le Client dans les meilleurs délais après en avoir eu connaissance et s’interdit de divulguer auprès des tiers l’existence d’un tel l’incident.
Dans l’hypothèse où le Client ferait l’objet d’une enquête menée par une autorité chargée de la protection des données ou par toute autre autorité compétente, d’une procédure découlant d’une infraction pénale ou administrative, d’une action en responsabilité engagée par une Personne concernée ou un tiers, ou de toute autre réclamation ou action en justice engagée dans le cadre du Contrat, CORE US garantit au Client qu’elle met tout en oeuvre afin de l’assister dans le cadre de cette procédure ou enquête.
11. Suppression et restitution des Données à caractère personnel par CORE US en qualité de Sous-traitant
Aucune copie ni duplication des Données à caractère personnel n’est possible sans que le Client n’en soit informé, à l’exception des copies de sauvegarde nécessaires aux traitements des données et afin de respecter les obligations légales et réglementaires lui incombant.
CORE US conserve les Données à caractère personnel traitées pour le compte du Client pendant la durée indiquée au sein de l’article 2 des présentes.
Au terme du contrat les liant, ou à une date antérieure convenue entre les parties, CORE US remet au Client, sous une forme utilisable et exploitable, l’ensemble des Données à caractère personnel, documents, résultats de traitement et d’utilisation, ou – si le Client l’autorise expressément – détruit tous ces documents, résultats et Données à caractère
personnel et dont elle dispose et ce, en conformité avec les règles de protection des données.
Toutes copies des Données à caractère personnel effectuées par CORE US doivent être supprimées, sauf si la législation en vigueur exige la conservation de tout ou partie des Données à caractère personnel concernées.
Un journal faisant état des opérations de destruction ou de suppression des Données à caractère personnel et permettant de certifier au Client le respect de cette obligation est tenu à jour par CORE US et mis à la disposition du Client.
La documentation utilisée pour faire état du bon traitement des Données à caractère personnel, conformément au contrat les liant, doit être conservée par CORE US au-delà de la durée contractuelle, conformément aux durées de conservation définies. CORE US peut remettre cette documentation au Client à la fin de la durée contractuelle afin de se libérer de cette obligation contractuelle.