1 – Généralités et mentions légales
1.1 Le représentant et responsable légal ci-après nommé Guillaume MARQUETTE, en qualité de gérant de GKcom.
Inscription au RCS d’Albi le 05 novembre 2020, numéro SIRET : 791 853 609 00018.
Tout cahier des charges ou document d’expression de besoins établi par le Client ne sera en aucun cas pris en compte par GKcom dans le cadre du Contrat sauf validation expresse de GKcom intervenue avant la signature des présentes pour figurer en annexe des présentes.
Le Client est informé que les Prestations proposées par GKcom sont nécessaires à la bonne utilisation du Service. Dès lors, il appartient au Client, eu égard à ses besoins, d’apprécier l’opportunité de recourir ou non à ces prestations.
1.2 Les prestations effectuées par GKcom sont soumises aux conditions générales qui suivent. Le client reconnaît avoir pris connaissance, au moment de la passation de commande, des conditions générales de vente énoncées dans ce document et déclare expressément les accepter sans réserve.
1.3 Les conditions générales précisent les termes du Contrat (« le Contrat ») passé entre le client et GKcom, et expriment l’intégralité des obligations et des droits des deux parties, en toute transparence. Les contrats liés à la création d’un site Internet (vitrine ou marchand) ainsi que les contrats d’assistance ou de maintenance sont soumis aux présentes conditions.
1.4 Lesdites conditions sont susceptibles d’être modifiées par GKcom. Les conditions applicables sont celles en vigueur sur le site Internet https://www.gkcom.fr. Elles entrent en vigueur à la date de signature et d’acceptation du devis/bon de commande servant de contrat, par le client.
1.5 Les présentes conditions sont accessibles à tout moment sur le site Internet, à l’adresse : https://www.gkcom.fr
1.6 Le contrat lié à ces Conditions Générales de Vente (« le Contrat ») définit l’ensemble des prestations développées par GKcom ainsi que le prix et les modalités de paiement de ces prestations. Il est conclu et accepté irrévocablement dès sa signature.
2 – Documents contractuels
Le contrat ainsi que les documents intitulés « Annexes » constituent l’intégralité des engagements existant entre les Parties, ci-après ensemble le Contrat. Il remplace et annule tout engagement oral ou écrit antérieur relatif à l’objet du Contrat.
Le Contrat est formé des documents contractuels suivants présentés par ordre hiérarchique de valeur juridique décroissante :
– le présent document ;
– les annexes au présent document, ci-après ;
– le bon de commande signé par le client
En cas de contradiction entre une et/ou plusieurs dispositions figurant dans l’un quelconque de ces documents, le document de rang supérieur prévaudra.
L’annexe « Protection des données personnelles » au présent document fait partie intégrante du Contrat.
Il est formellement convenu entre les Parties que toute tolérance ou renonciation d’une des Parties, dans l’application de tout ou partie des engagements prévus au Contrat, quelles que puissent en être la fréquence et la durée, ne saurait valoir modification du Contrat, ni être susceptible de créer un droit quelconque.
3 – Informations sur les prestations de services
3.1 GKcom développe des prestations multimédias dédiées à Internet telles que la création de sites Internet (vitrine ou marchand), de blogs et la réalisation de Newsletter.
3.2 GKcom met en place des systèmes d’administrations pour la gestion de contenus (zones éditoriales, galeries photos, module de news, …), destinés aux clients désirant réaliser leurs propres mises à jour. GKcom peut gèrer tous les types de traductions littérales ou techniques (anglais, espagnol). Elle assure aussi la réservation des noms de domaine et des solutions d’hébergement appropriées.
3.3 GKcom propose des mises à jour de sites Internet dans le cadre de contrats d’assistance. Ces prestations servent à mettre à jour le site Internet. Le contrat d’assistance peut aussi comprendre la promotion du site Internet grâce à des campagnes de Web Marketing ainsi que des prestations de conseils. L’ensemble de ces éléments sont définis lors de l’élaboration du contrat d’assistance. Dans tous les cas, le CLIENT garde la responsabilité légale de l’ensemble des contenus de son site Internet : textes, images, vidéos. Ainsi, GKcom ne saurait être tenue pour responsable en cas de litige.
3.4 GKcom effectue des prestations de formations et de communication. Dans le cadre de ses activités de formations, GKcom réalisera une convention de formation. Ces formations concernent l’utilisation de l’Internet, des techniques de référencement et des logiciels se rattachant au monde du Web. Les prestations de communication regroupent l’ensemble des services destinés à promouvoir le client, comme par exemple la création de logotypes et de plaquettes publicitaires.
3.5 GKcom s’engage à concevoir un site Internet conformément aux règles de l’art, par les langages appropriés de programmation (HTML, XHTML, CSS, PHP, Flash, JavaScript, etc). Pour toute création de site Internet, GKcom donnera au client un outil d’observation des rapports d’audiences sur la fréquentation de son site internet. Dans le cadre d’une création de site Internet, GKcom supporte une obligation de moyens conforme au Contrat. Pour le cas particulier des sites marchands, GKcom ne pourra être tenue responsable du niveau de chiffre d’affaire induit par le site internet.
3.6 Le client est seul responsable du nom donné au domaine du site Internet qu’il aura choisi. GKcom enregistrera tout nom de domaine dans les conditions définies entre les parties. GKcom n’agissant qu’en qualité d’intermédiaire technique auprès des organismes de nommage, les conditions générales de vente de ces organismes s’appliquent. Le client détient la propriété exclusive du nom de domaine du site Internet.
3.7 L’exécution des prestations ne saurait entraîner une quelconque session des droits de propriété intellectuelle appartenant à GKcom. Tout produit conçu et réalisé par GKcom restera sa propriété exclusive. Elle pourra utiliser et diffuser les produits comme elle l’entendra et par les moyens et supports de toute nature, en tout pays et toute langue sans que le client puisse opposer un droit quelconque de propriété intellectuelle sur les produits objets de la commande.
Pour acquérir les fichiers sources une demande devra être formulée par lettre recommandée avec accusé de réception aux coordonnées citées dans ces présente Conditions Générales de Vente, en précisant objectivement les motifs de la demande.
3.8 L’hébergement caractérise les ressources techniques et les moyens mis à la disposition du client lui permettant de publier et d’exploiter un ou plusieurs sites Internet. Il s’agit de la location annuelle d’un espace disque d’un serveur. GKcom ne peut pas être poursuivi pour des défectuosités liées au serveur sur lequel est hébergé le site du client. La responsabilité de la gestion du serveur relève de la société d’hébergement. GKcom ne peut être tenue responsable des augmentations éventuelles.
3.9 Les moteurs de recherches permettent une indexation du site Internet du client. Le référencement influence la place d’un site sur un moteur de recherche. Dans le cadre du contrat d’assistance, GKcom propose des prestations de référencement. Il s’agit alors pour GKcom d’une obligation de moyens et non de résultats. GKcom ne saurait garantir la présence effective d’un site dans les moteurs et annuaires, ni une position précise dans ces mêmes moteurs et annuaires. GKcom peut avoir recours à des liens sponsorisés auprès de sociétés spécialisées afin d’optimiser le référencement pour son client.
3.10 Le délai de création d’une prestation dépendra d’un accord entre GKcom et le CLIENT. Ce délai de création ne commence à courir qu’à la réception de l’intégralité des documents et images nécessaire à la réalisation du site et fournis par le Client. Si la réalisation entraîne des ajustements non prévus initialement, le délai de réalisation pourra changer. GKcom en informera alors le Client. Si la prestation réalisée dépasse de plus de 30% le temps et le budget prévus sur devis, GKcom se réserve le droit de faire supporter au client la charge supplémentaire avec une facturation complémentaire.
4 – Obligations et responsabilités du client
4.1 Le client reconnaît avoir reçu de GKcom toutes les informations et conseils qui lui étaient nécessaires pour souscrire au présent engagement en connaissance de cause. Ainsi, les choix effectués par le client lors de la commande et par la suite, demeurent sous son entière responsabilité. Le client s’engage à fournir à GKcom tous les documents, renseignements et informations lui permettant de réaliser le site conformément à ces besoins et souhaits. Dans le cadre de la réalisation d’un site e-commerce, le client s’engage à saisir le catalogue intégral de ses produits au format Excel, à partir de la trame fournie par GKcom. GKcom ne saurait être tenu pour responsable des dysfonctionnements ou de la non intégration d’un catalogue si le client refusait de fournir le fichier dans la forme sus-citée.
4.2 En application des dispositions légales et notamment de la loi du 30 septembre 1986 modifiée, le client est civilement et pénalement responsable du contenu de son site, des informations transmises, diffusées et/ou collectées, de leur exploitation, des liens hypertextes, des revendications de tiers et actions pénales qu’elles suscitent, notamment en matière de droits de la personnalité et de protection des mineurs. Le client s’engage à respecter les lois et règlements en vigueur dont notamment les règles ayant trait au fonctionnement des services en ligne, au commerce électronique, aux droits d’auteur, aux bonnes mœurs et à l’ordre public ainsi que les principes universels d’usage de l’Internet.
4.3 Le client s’engage à respecter les dispositions relatives aux mentions légales obligatoires sur son site web en vertu de la loi du 30 septembre 1986 modifiée et celles relatives à l’informatique, aux fichiers et aux libertés, en particulier celles relatives aux déclarations des traitements automatisés d’informations nominatives auprès de la Commission Nationale de l’Informatique et des Libertés (C.N.I.L.).
4.4 GKcom se réserve le droit de refuser toutes prestations et tous travaux manifestement contraires aux bonnes mœurs, racistes et/ou à caractère illégal. Les prestations de services achetées sont placées sous l’unique responsabilité de l’acheteur, et tout évènement de nature à annuler les prestations pour lesquelles elles ont été achetées ne saurait engager la responsabilité de GKcom, ni donner lieu à aucun dédommagement, ni à annuler la vente.
4.5 GKcom ne pourrait être tenue pour responsable d’infraction aux lois françaises et internationales de protection de la propriété intellectuelle pour tous travaux, modifications, créations effectuées à partir d’éléments tels que les textes, les logos, les graphismes, les images et photos fournis par le client dont il n’aurait pas la propriété exclusive. De même, les informations contenues sur les conceptions graphiques relève de la seule responsabilité du client.
5 – Accès aux solutions
Le Client utilisera seul ce droit d’accès. Il pourra se connecter à tout moment – à l’exception des périodes de maintenance –, à savoir :
– 24 heures sur 24,
– 7 jours sur 7,
– y compris les dimanche et jours fériés,
L’accès s’effectue :
– à partir des ordinateurs Clients.
– à partir de tout ordinateur Client nomade
– au moyen des Identifiants fournis au Client.
L’identification du Client lors de son accès aux Services applicatifs se fait au moyen :
– d’un Identifiant attribué à chaque Utilisateur par le Prestataire,
– et d’un mot de passe communiqué au Client par le Prestataire.
Le Client utilisera les Identifiants qui lui auront été communiqués lors de chaque connexion aux Services applicatifs.
Les Identifiants sont destinés à réserver l’accès des Solutions objets du Contrat aux Utilisateurs du Client, à protéger l’intégrité et la disponibilité des Solutions, ainsi que l’intégrité, la disponibilité et la confidentialité des Données du Client telles que transmises par les Utilisateurs.
Confidentialité des identifiants :
Les Identifiants sont personnels et confidentiels. Ils ne peuvent être changés que sur demande du Client ou à l’initiative du Prestataire sous réserve d’en informer préalablement le Client. Le Client s’engage à mettre tout en œuvre pour conserver secrets les Identifiants le concernant et à ne pas les divulguer sous quelque forme que ce soit.
Le Client est entièrement responsable de l’utilisation des Identifiants et il est responsable de la garde des codes d’accès qui lui sont remis. Il s’assurera qu’aucune autre personne non autorisée par le Prestataire n’a accès aux Services applicatifs et aux Solutions.
De manière générale, le Client assume la responsabilité de la sécurité des postes individuels. D’accès aux Solutions. Dans l’hypothèse où il aurait connaissance de ce qu’une autre personne y accède, le Client en informera le Prestataire sans délai et le confirmera par courrier recommandé.
En cas de perte ou de vol d’un des identifiants, le Client en informera dès que possible GKcom.
Le Prestataire s’engage à transmettre les documentations mises à jour des nouvelles versions des Solutions.
Les corrections et évolutions des Services applicatifs sont expressément soumises au Contrat.
Éventuellement,
Les interventions relatives à ce service peuvent rendre le service momentanément indisponible.
6 – Assistance utilisateur
L’assistance aux utilisateurs s’applique à toutes Solutions fournies par le Prestataire et consiste à assister les Utilisateurs dans l’utilisation ou l’administration de la Solution.
La fourniture de ce service est subordonnée à sa souscription d’un contrat de maintenance par le Client.
Il sera répondu au Client, du lundi au vendredi ou autre de 9h à 17h par mail.
7 – Traitement des données
7.1. Données personnelles
Si les Données transmises aux fins d’utilisation des Services applicatifs comportent des données à caractère personnel, le Client garantit au Prestataire qu’il a procédé à l’ensemble des obligations qui lui incombent au terme de la loi du 6 janvier 1978 dite « Informatique & Libertés », et qu’il a informé les personnes physiques concernées de l’usage qui est fait desdites données personnelles.
A ce titre, le Client garantit le prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient reproduites et hébergées via le Service applicatif.
Dans le cas où les Données sont stockées sur des serveurs localisés dans des pays hors du territoire de l’Union Européenne, une autorisation spécifique de transfert des données doit être obtenue auprès de la CNIL. Le Prestataire s’engage à informer le Client de la localisation des Données et plus généralement, à communiquer toutes les informations utiles et nécessaires pour réaliser les déclarations. Le Client, en tant que responsable du traitement s’engage à conclure le standard contractuel établi par une décision de la Commission européenne du 5 février 2010 et à obtenir l’autorisation adéquate auprès de la CNIL.
7.2. Exploitation des données
Le Client assure la responsabilité éditoriale éventuelle de l’utilisation des Services applicatifs.
Le Client est seul responsable de la qualité, de la licéité, de la pertinence des Données et contenus qu’il transmet aux fins d’utilisation des Services applicatifs. Il garantit en outre être titulaire des droits de propriété intellectuelle lui permettant d’utiliser les Données et contenus. En conséquence le Prestataire dégage toute responsabilité en cas de non-conformité des Données et/ou des contenus aux lois et règlements, à l’ordre public ou encore aux besoins du Client.
Le Client garantit le Prestataire à première demande contre tout préjudice qui résulterait de sa mise en cause par un tiers pour une violation de cette garantie.
Plus généralement, le Client est seul responsable des contenus et messages diffusés et/ou téléchargés via les Services applicatifs. Le Client demeure le seul propriétaire des Données constituant le contenu des Solutions.
7.3. Sécurité des données
Chacune des Parties s’engagent à mettre en œuvre les moyens techniques appropriés pour assurer la sécurité des Données.
Sous réserve de l’Article « Responsabilité », le Prestataire s’engage à préserver l’intégrité et la confidentialité des Données contenues dans les Solutions. Le Prestataire mettra en place les mesures techniques et organisationnelles de nature à empêcher tout accès ou utilisations fraudeuses des Données et à prévenir toutes pertes, altérations et destructions des Données
8 – Clause de confidentialité
8.1 GKcom s’engage à ne divulguer aucune information privée ou personnelle concernant le client, sauf accord explicite de ce dernier, ainsi qu’à ne donner aucun renseignement sur les modalités de réalisation et d’exécution des prestations, services et travaux effectués pour le compte du dit client.
8.2 Le client autorise implicitement GKcom à citer son nom et son adresse web (URL) en référence, sur l’ensemble des supports de communication de GKcom.
9 – Conditions financières
Les montants des Services sont indiqués en euros et s’entendent hors taxe et hors frais.
L’adresse de facturation est l’adresse du siège social du Client.
Il est expressément convenu que le montant des sommes facturées par le Prestataire sera révisé chaque année en fonction de l’indice du Coût Horaire du travail tous salariés des entreprises de la Fédération Syntec.
Sont inclus dans ces montants les prestations suivantes :
– les prestations de formation,
– la maintenance évolutive et corrective
– les prestations d’assistance technique,
– et plus généralement toutes prestations fournies par GKcom
10 – Modalités et délais de paiement
10.1 Paiement par virement bancaire, prélèvement automatique ou par chèque selon les modalités définies dans « le Contrat ».
10.2 Toute somme non payée dans les trente jours est susceptible de porter intérêts à un taux égal à une fois et demie le taux légal.
10.3 Dans le cadre des contrats d’assistance, les paiements s’effectuent périodiquement selon les modalités définies dans « le Contrat ».
11 – Règlement
11.1 Lors de l’acceptation des services, le client complètera et signera, « le Contrat » émanant de GKcom. Les modalités de paiement sont définies dans le Contrat. Le règlement des prestations donnant lieu à un contrat de services s’effectuera à réception de chaque facture concernant la période de référence.
11.2 En cas d’annulation par le client des services de GKcom après la signature du bon de commande et avant la date anniversaire, un pourcentage d’un montant de 30% du montant total de la facture sera demandé à titre de dommages et intérêts et de compensation pour services rendus.
12 – Défaut de paiement
Sans préjudice d’éventuels dommages et intérêts, le défaut de paiement par le Client d’une facture à son échéance entraîne de plein droit :
– l’application d’un intérêt de retard égal à trois fois le taux d’intérêt légal, sans mise en demeure préalable et à compter du premier jour de retard ;
– les frais bancaires et de gestion supplémentaires (suivi du recouvrement, courriers et frais téléphoniques de relance, représentation des rejets de prélèvement bancaire) ;
– la suspension immédiate des Services ;
13 – Responsabilités
13.1 La prestation demandée est effectuée en fonction des instructions et renseignements fournis par le client et n’engage en rien la responsabilité de GKcom.
13.2 En outre, tout changement survenu après la réception de la prestation ne saurait être imputé à GKcom. Le client prend sous sa responsabilité toute modification, ajout, retrait ou toute altération du document, de la prestation, dans son entier, qui pourrait en modifier le sens premier, le contenu initial et la forme originelle.
14 – Réclamations
14.1 Pour être valable, toute réclamation doit être adressée par écrit à l’adresse de GKcom par lettre recommandée avec accusé de réception dans les huit jours qui suivent la mise en ligne du site ou la signature du procès-verbal de mise en ligne et la réception de la facture. Si aucune réclamation n’est enregistrée dans ce délai, le travail et la livraison sont considérés comme étant entièrement acceptés par le client.
14.2 Tout problème invoqué par le client concernant un ajout ou une partie du travail réalisé ne l’autorise pas à suspendre le paiement du travail achevé.
15 – Force majeure
15.1 GKcom s’engage, au vu de la technique actuelle, à maintenir dans les meilleures conditions possibles les services proposés. Cependant, GKcom n’est pas responsable en cas d’interruption du service imputable à un cas de force majeure, au fait d’un tiers et notamment le prestataire qui héberge le site du client, à l’abonné, ainsi qu’aux aléas découlant de la technique.
15.2 Le cas de force majeure suspend les obligations nées du présent contrat pendant toute la durée de son existence. Toutefois, si le cas de force majeure avait une durée d’existence supérieure à 30 jours consécutifs, il ouvrirait droit à la résiliation de plein droit du présent contrat par l’une ou l’autre des parties huit jours après l’envoi d’une lettre recommandée avec avis de réception notifiant cette décision.
15.3 Dans le cas où le préjudice du client serait causé par la faute exclusive de GKcom, le client ne peut pas se voir réclamer un montant supérieur à la somme totale versée dans le cadre de son contrat.
16 – Durée du contrat
16.1 Le contrat entre en vigueur à compter de la date de sa signature par les deux parties et se termine à la mise en ligne du site (sauf mention spécifique stipulée sur le Contrat). A l’issue de cette période, concernant les prestations d’hébergement, maintenance et suivi, chaque partie peut y mettre fin à condition d’avoir notifié sa décision à l’autre partie par lettre recommandée avec accusé de réception 1 mois avant la date anniversaire du contrat.
16.2 A l’expiration de cette période d’une année, le contrat d’assistance (ou de référencement ou de maintenance) se renouvellera par tacite reconduction et par période successives de 12 mois sauf faculté pour l’une des deux parties d’y mettre fin à chaque date anniversaire, moyennant le respect d’un préavis d’1 mois signifié par lettre recommandée avec avis de réception.
16.3 Cette dénonciation ne donne droit à aucun remboursement ni aucun avoir. La dénonciation comporte le règlement par le client de ses obligations financières vis à vis de GKcom. Toute période de facturation entamée reste due.
17 – Suspension des services
17.1 En cas de non-respect par l’une des parties de l’une de ses obligations, le présent Contrat sera résilié de plein droit un mois après envoi par l’autre partie d’une mise en demeure par une lettre recommandée avec avis de réception précisant les fautes contractuelles reprochées.
17.2 Le contrat sera résolu de plein droit à l’initiative de GKcom et sans qu’aucune indemnité ne soit due au client, si GKcom prenait connaissance, postérieurement à la conclusion du Contrat mais avant la livraison des prestations, de faits concernant la solvabilité du client de nature à laisser craindre que ce dernier ne serait en mesure d’exécuter ses obligations contractuelles.
17.3 Tout défaut de retard de paiement de la part du client ou le non-respect des obligations au titre des présentes conditions générales entraîne une suspension automatique des services. Le client est averti par lettre recommandée avec accusé de réception et un montant de trente euros lui sera facturé à titre de frais de dossier pour la facture concernée. La résiliation du contrat liant le client à GKcom est encourue de pleins droits trente jours après mise en demeure par lettre recommandée avec accusé de réception restée infructueuse.
18 – Juridiction compétente
L’interprétation et l’exécution des présentes conditions générales de vente et de fourniture de prestations de service, ainsi que de tous les actes qui en seront la conséquence, seront soumis au droit français.
Tout litige découlant des présentes conditions générales de vente relèvera de la compétence exclusive des tribunaux compétents du ressort du tribunal de commerce d’Albi– 81000 même en cas de clause attributive de juridiction contraire.
ANNEXE Protection des données personnelles
Le Client est désigné ci-après « Responsable du traitement »
GKcom est désigné ci-après « le sous-traitant »
- Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
- Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : Gestion des données commerciales.
La nature des opérations réalisées sur les données est stockage, analyse, mailing.
La finalité du traitement est le développement commercial du Client.
Les données à caractère personnel traitées sont les noms, prénoms, adresses postales professionnelles, numéros de téléphones, email et entreprises d’appartenance des clients et prospects du Client
Les catégories de personnes concernées sont les clients et prospects du Client.
Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes ses données commerciales, y compris les données personnelles sus mentionnées.
- Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s’engage à :
- Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
- Traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- Reçoivent la formation nécessaire en matière de protection des données à caractère personnel
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
- Sous-traitance
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.
Le responsable de traitement dispose d’un délai minium de 1 mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
- Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
- Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable des données personnelles désignées pour le Client dans le paramétrage de GKcom.
- Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par courrier électronique au responsable des données personnelles désignées pour le Client dans le paramétrage Omnicia. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
- La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- La description des conséquences probables de la violation de données à caractère personnel ;
- La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins
- La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- La description des conséquences probables de la violation de données à caractère personnel ;
- La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
- Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
A la demande du responsable de traitement :
Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
- Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
- Chiffrer les connexions au système de données
- Contraindre les utilisateurs à changer régulièrement de mots de passes
- Analyser mensuellement les logs de connexions afin d’y détecter d’éventuelles tentatives d’intrusions afin de prendre les mesures nécessaires
- Il s’engage par ailleurs à étudier et mettre en place si nécessaire, toutes les mesures qui pourraient apparaitre nécessaires au Responsable de traitement ou au sous-traitant
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par le présent contrat.
Le Responsable de données s’engage au minimum :
- Utiliser des accès nominatifs et individuels au service
- S’assurer que son personnel protège ses mots de passe suivant les règles de l’art.
- Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à détruire toutes les données à caractère personnel
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant.
Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.
- Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
- Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
- les catégories de traitements effectués pour le compte du responsable du traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe
1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
O la pseudonymisation et le chiffrement des données à caractère personnel ;
O des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
O des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
O une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
- Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
- fournir au sous-traitant les données visées au II des présentes clauses
- documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
- superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant