Version 3, applicable à partir du 16 janvier 2023
Limber est une application exploitée par Limber, société par actions simplifiée au capital de 185 872 Euros, dont le siège social est situé 47, rue Marcel Dassault à Boulogne-Billancourt (92100), immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 809 554 132 et ayant pour numéro de TVA intracommunautaire FR76809554132 (le « Prestataire » ou le « sous-traitant » ).
Limber (l’« Application ») permet à ses utilisateurs (le ou les « Client(s) » ou les ou les « Responsable(s) du traitement ») de gérer et d’automatiser, selon les modalités de la documentation accessible à l’adresse : https://www.limber.io/documentation, les campagnes marketing en ligne. Divers services sont ainsi proposés sur l’Application (le ou les « Service(s) ») parmi lesquels :
- la gestion centralisée de différentes plateformes sociales (le ou les « Plateforme(s) »);
- le reformatage de contenu et la génération de messages sur lesdites Plateformes ; et
- l’analyse de la performance des contenus et campagnes réalisées.
Les présentes Conditions Générales de Vente (le « Contrat ») s’appliquent, sans restriction ni réserve et à l’exclusion de toutes autres conditions à la fourniture des Services précités.
Dans l’hypothèse où le Client ne serait pas professionnel au sens du code de la consommation, les dispositions de l’article 11 des présentes lui seront applicables.
Le Client reconnaît avoir la capacité requise pour souscrire aux Services précités et déclare avoir pris connaissance des présentes Conditions Générales de Vente et les accepte sans réserve. Tout amendement aux présentes fera l’objet d’une prestation supplémentaire à la charge du Client.
Article 1 – Objet du Contrat
Le Contrat a pour objet de définir les termes et conditions applicables à l’accès à l’Application et aux Services souscrits par le Client.
Le Prestataire consent au Client qui accepte, un droit, dans les strictes conditions de l’Article 5, d’accès et d’utilisation de l’Application et des Services applicatifs pendant toute la durée de son abonnement.
Le Client ne pourra céder tout ou partie des droits et obligations résultant de ce présent Contrat sans l’accord écrit et préalable du Prestataire.
Il est précisé que pour la bonne exécution des présentes, le Client s’engage à notifier au Prestataire dans les plus brefs délais du changement de son adresse de correspondance (mail et/ou boîte postale). Le Prestataire ne serait en aucun cas responsable des conséquences du défaut de notification de cette information par le Client.
Article 2 – Accès à l’Application
2.1 Modalités d’accès à l’Application
L’Application est accessible via l’accès Client (l’ « Accès Client ») à l’adresse suivante : https://app.limber.io.
L’Accès Client s’effectue à partir de tout ordinateur ou mobile et au moyen des identifiants qu’il a créé. Il permet d’accéder aux paramètres d’administration et de gestion de l’Application donnant la possibilité notamment de gérer les différentes Plateformes, de générer du contenu sur lesdites Plateformes, et d’analyser la performance de ce contenu et des campagnes réalisées.
Les identifiants sont personnels et confidentiels. Le Client s’engage à mettre tout en œuvre pour conserver secrets les identifiants et à ne pas les divulguer sous quelque forme que ce soit.
Le Client est entièrement responsable de l’utilisation desdits identifiants. Il s’assurera qu’aucune autre personne non autorisée par le Prestataire n’ait accès aux Services de l’Application. Dans l’hypothèse où il aurait connaissance de ce qu’une autre personne accède à ces services, le Client en informera le Prestataire sans délai et le confirmera par courrier recommandé et par mail.
En cas de vol ou de pertes des identifiants, le Client en informera le Prestataire sans délai et le confirmera par courrier recommandé.
2.2 Conditions techniques d’accès et mise à jour à l’Application
Le Prestataire met à la disposition du Client, les Services via l’Application accessible sur son serveur par le biais du réseau internet 24 heures sur 24 et 7 jours sur 7, à l’exception des périodes de maintenance et avec un taux de disponibilité mensuel de 99,75%.
Afin de garantir un bon fonctionnement de l’Application, il est précisé que cette dernière est optimisée pour les dernières versions des navigateurs web, Chrome et Firefox, et des dernières versions des systèmes d’exploitation mobiles Android et iOs mobile.
Le Prestataire se réserve le droit de mettre à jour et d’opérer des modifications fonctionnelles de l’Application à tout moment pouvant rendre momentanément indisponible l’accès aux Services.
Le Client est en outre averti des aléas techniques et des interruptions d’accès pouvant survenir. En conséquence, le Prestataire ne pourra être tenu responsable des indisponibilités ou ralentissements des Services.
Le Prestataire s’engage à mettre en place des contrôles réguliers de nature à procurer une assurance raisonnable que le Client puisse accéder et utiliser l’Application dans les conditions déterminées par les présentes.
Le Client s’engage à ne pas exposer l’Application à tout risque de piratage et de tentative d’atteinte à la vulnérabilité de l’Application et de son système de sécurité. En conséquence, le Client devra mettre en place l’ensemble des mesures adéquates pour prévenir les risques précités ou tout autre risque susceptibles d’affecter l’Application et son hébergeur.
2.3 Plateformes et contenus compatibles avec l’Application
Les Plateformes qu’il est possible de connecter avec l’Application sont les suivantes :
- Twitter ;
- Facebook ;
- Linkedin;
- Yammer;
- Youtube;
- WordPress;
- Google My Business ;
- Zapier ;
- Slack ;
- Teams ;
Il est précisé que certaines fonctionnalités de Limber utilisent les interfaces de programmation (API) mises à disposition par les plateformes sociales susmentionnées. L’accès à ces API reste à la discrétion des éditeurs des plateformes sociales et par voie de conséquence Limber ne saurait être responsable de l’interruption d’accès à ces API de même que tout changement dans les conditions d’accès réglementaire à celles-ci. L’interruption d’accès à une API à l’initiative de l’éditeur de la Plateforme ainsi que l’arrêt inhérent des fonctionnalités de Limber liées à cette API ne sauraient constituer un juste motif de résiliation de l’abonnement à Limber ni justifier une demande d’indemnisation.
En cas d’interruption d’accès à une interface de programmation, Limber s’efforcera de proposer des fonctionnalités alternatives dans des conditions de coût et des délais raisonnables.
Pour chacune de ces Plateformes, le Client devra renseigner sur l’Application les identifiants et mots de passes correspondants. En outre, le Client s’engage à n’utiliser via l’Application que les comptes desdites Plateformes dont il est pleinement titulaire.
Les conditions de traitement des données personnelles et les conditions d’usage de ces plateformes peuvent être consultées via les liens ci-dessous :
- Facebook : https://www.facebook.com/terms.php
- Twitter : https://twitter.com/fr/tos
- Linkedin : https://www.linkedin.com/legal/user-agreement
- Youtube : https://www.youtube.com/t/terms
- Google : https://policies.google.com/privacy
- Slack: https://slack.com/intl/en-fr/trust/privacy/privacy-policy
- Microsoft Teams: https://www.microsoft.com/en-us/microsoft-teams/security
Le contenu susceptible d’être ajouté sur l’Application devra respecter les formats et autres conditions figurant dans la documentation accessible à l’adresse : https://www.limber.io/documentation.
Article 3 – Les Offres
Plusieurs offres sont proposées au Client (le ou les « Offres(s) »), lesquelles sont mensuelles ou annuelles, renouvelables par tacite reconduction sans limitation particulière.
Il est précisé que le Client souscrivant à une Offre d’essai reste néanmoins soumis à l’ensemble des dispositions du présent Contrat. En conséquence, sa responsabilité pourra être engagée notamment si ce dernier causerait un quelconque dommage à Limber.
Le choix de l’Offre par le Client relève de sa seule et entière responsabilité. Il dispose néanmoins de la possibilité, à tout moment et y compris en cours de Contrat, de modifier son Offre pour une Offre supérieure en prix.
Dans l’hypothèse où le Client ne souhaiterait plus voir son engagement renouvelé tacitement, il devra notifier son intention par courrier recommandé avec accusé de réception à l’autre Partie au minimum un (1) mois avant la date de renouvellement du Contrat le cachet de la Poste faisant foi ou adresser un courriel à l’adresse suivante : [email protected] étant précisé que ce courriel ne sera opposable à la Société que dans la mesure où cette dernière en aura accusé réception.
Article 4 : Propriété des données
Le Client demeure propriétaire de l’ensemble des données qu’il communique dans le cadre de l’utilisation de l’Application.
Le Client autorise expressément le Prestataire à héberger lesdites données sur le serveur choisi librement par ce dernier et à les utiliser notamment pour les besoins du fonctionnement de l’Application mais également de les exploiter à des fins statistiques.
Le Prestataire devra s’assurer que le serveur choisi pour ledit hébergement utilisera les moyens appropriés afin d’assurer l’intégrité de l’établissement et de la conservation des données, ainsi que la protection et la confidentialité de la collecte, du stockage et du traitement des données du Client.
Toutefois, le Prestataire ne sera en aucun cas responsable des violations des obligations précitées commises par ledit hébergeur. La responsabilité restera à la charge de cet hébergeur.
Si les données transmises par le Client comportent des données à caractère personnel, le Client garantit au Prestataire qu’il a respecté l’ensemble des obligations lui incombant notamment aux termes de la loi n° 78-17 du 6 janvier 1978. A ce titre, le Client garantit le Prestataire contre tout recours, plainte ou réclamation liés à l’hébergement ou l’utilisation desdites données.
Article 5 – Licence et Propriété Intellectuelle
Le Prestataire concède au Client un droit personnel, non exclusif, non cessible et non transférable d’utilisation des Services pendant toute la durée du Contrat.
Le présent Contrat ne confère aucun droit de propriété sur les Services. La mise à disposition temporaire des Services ne saurait être analysée comme la cession d’un quelconque droit de propriété intellectuelle au Client.
Le Client s’engage à n’utiliser l’Application que conformément à ses besoins. La présente licence n’est concédée que dans le seul et unique but de permettre au Client l’utilisation des Services à l’exclusion de toute autre finalité conformément à leur destination.
Le Client ne pourra en aucun cas mettre les Services à disposition d’un tiers et s’interdit strictement toute autre utilisation en particulier toute adaptation, modification, traduction, arrangement, diffusion, décompilation sans que cette liste ne soit limitative.
Le Client s’interdit par ailleurs de reproduire tout élément de l’Application ou toute documentation la concernant, par quelque moyen, sous quelque forme et sur quelque support que ce soit.
Article 6 – Responsabilité
6.1 L’utilisation de l’Application
Le rôle du Prestataire se limite à la mise à disposition des Services au Client.
Le Client est seul responsable des conséquences de l’utilisation de l’Application par lui et tout tiers.
Le Client est tenu de d’assurer que l’utilisation qu’il fait de l’Application est conforme aux dispositions légales et réglementaires. Le Prestataire ne donne aucune garantie au Client quant à la conformité de l’utilisation de l’Application, qu’il fait ou qu’il projette de faire, aux dispositions légales et règlementaires nationales ou internationales.
6.2 La génération et diffusion de contenu via l’Application
Le Prestataire, n’assurant qu’un rôle technique dans la gestion et la diffusion de contenu sur les Plateformes ne saurait avoir la qualité d’éditeur dudit contenu. Le Client définit librement le contenu à diffuser ainsi que sa période de diffusion.
Les propositions de contenus pouvant être éventuellement générées par l’Application ne porte nullement atteinte à la liberté du Client de les diffuser ou non. Il est précisé que ces propositions sont techniquement automatisées par l’Application au regard des données communiquées par le Client, en conséquence, ces propositions de contenus ne sauraient être analysées comme une proposition de contenu émanant de Limber.
Le Client sera ainsi seul responsable du contenu, des conditions et conséquences de la diffusion ou non diffusion de contenu via l’Application, en ce compris notamment lorsque ce contenu avait été proposé par l’Application. Il devra alors s’assurer du respect des conditions légales et réglementaires et faire son affaire de l’ensemble des contestations.
6.3 Les données et contenu
Le Prestataire ne contrôle pas l’utilisation de l’Application faite par le Client et les différentes données et informations saisies par ce dernier et par tout tiers. Le Prestataire ne saurait en aucun cas être tenu responsable au titre de ce contenu.
Le Prestataire s’engage à ne pas saisir un contenu susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs, de provoquer des protestations de tiers, ou encore de contrevenir aux dispositions légales en vigueur.
En conséquence, il est expressément convenu qu’au cas où Limber serait mise en cause, à quelque titre que ce soit, dans quelque pays que ce soit, par un tiers sur le fondement notamment d’un droit de la propriété industrielle et/ou intellectuelle relatif à un élément fournis par le Client, le Client s’engage à garantir entièrement Limber des conséquences économiques et financières directes et/ou indirectes (y compris les frais de procédure et de défense) qui découleraient de ces revendications.
Le Client devra s’assurer de l’envoi des données à l’Application et ne pourra reprocher au Prestataire sur un quelque fondement et à quelque titre que ce soit la non réception ou la perte des données transmises. Le Client veillera alors à conserver une sauvegarde des données transmises. En outre, une fois le Contrat résilié, le Client est informé que les données transmises ainsi que l’ensemble des données générées et/ou stockées dans l’Application (factures…) seront détruites par le Prestataire.
6.4 Analyses et statistiques de performance
Les analyses et statistiques de performance fournies par l’Application n’ont qu’une valeur indicative. Le Prestataire ne s’engage nullement sur leur exactitude. En conséquence, le Client est seul responsable des suites de l’utilisation des ces analyses et statistiques de performance et ne saurait reprocher et rechercher la responsabilité du Prestataire sur un quelque fondement et à quelque titre que ce soit en raison des conséquences notamment financières et commerciales liés directement ou indirectement à ces analyses et statistiques de performance.
6.5 Dispositions générales
En tout état de cause, le Prestataire ne saurait en aucune circonstance être responsable au titre des pertes ou dommages indirects ou imprévisibles du Client ou des tiers, ce qui inclut notamment tout gain manqué, inexactitude ou corruption de fichiers ou données, préjudice commercial, perte de chiffre d’affaires ou bénéfice, perte de clientèle ou perte de chance lié à quelque titre et sur quelque fondement que ce soit au présent Contrat.
Limber ne serait être responsable du retard ou de l’inexécution du présent Contrat justifié par un cas de force majeure, telle qu’elle est définie par la jurisprudence des cours et tribunaux français.
6.6 Signalement d’une faille de sécurité
En cas de découverte fortuite d’une vulnérabilité ou d’une faille de sécurité, le Client est invité à en informé le Prestataire par mail à l’adresse suivante : [email protected]
Article 7 – Redevances
Le Client est redevable d’une redevance forfaitaire annuelle ou mensuelle selon l’Offre souscrite, dont le montant est fixé selon la grille tarifaire, accessible sur demande.
La TVA sera due par les consommateurs, au sens du droit de la consommation, concluant le présent Contrat. S’agissant des Clients professionnels, la TVA pourra être éventuellement due par ces derniers au Prestataire selon les dispositions communautaires applicables. En conséquence, le Client s’engage sur simple demande du Prestataire à fournir des informations exactes et réelles quant à sa situation juridique et fiscale.
Le montant mensuel de la redevance sera versé à date anniversaire de la conclusion du présent Contrat par prélèvement bancaire automatique ; par exception, le prix mensuel du premier mois d’abonnement devra être intégralement payé au jour de la passation de la commande, selon les modalités suivantes :
- Par carte bancaire : Visa, MasterCard, American Express.
- Par virement bancaire
- Par prélèvement
Le montant de la redevance annuelle, pour la souscription d’une Offre annuelle, devra être intégralement versé au jour de la souscription de l’Offre par le Client.
Les données de paiement sont échangées en mode crypté.
Les paiements effectués par le Client ne seront considérés comme définitifs qu’après encaissement effectif des sommes dues par le Prestataire.
Une facture est établie par le Prestataire et remise au Client dès le paiement réalisé.
Tout retard de paiement entraînera l’exigibilité de pénalités de retard à un taux égal à 6,18% et d’une indemnité forfaitaire de 40 (quarante) euros pour frais de recouvrement, dues de plein droit, sans qu’un rappel soit nécessaire.
Article 8 – Résiliation
En cas de manquement par l’une des Parties à ses obligations contractuelles, le Contrat pourra être résilié de plein droit par l’autre Partie quinze (15) jours après l’envoi d’une lettre de mise en demeure adressée par lettre recommandée avec demande d’avis de réception restée sans effet. La mise en demeure indiquera la ou les défaillances constatées.
Une fois le Contrat résilié, le Client cessera d’accéder aux Services de l’Application et les données transmises à l’Application seront détruites par le Prestataire.
Article 9 – Durée
Sauf indication contraire dans les Dates de Service de l’Offre acceptée par le Client, le Contrat est conclu pour une durée de 12 mois et sera automatiquement renouvelé pour 12 mois supplémentaires s’il n’est pas résilié par le Client dans les conditions prévues par l’Article 3.
Article 10 – Communication
Le Client autorise le Prestataire à communiquer sur tout support et par tout moyen l’existence du référencement du Client au titre du présent Contrat après du Prestataire. A cet effet, le Prestataire pourra utiliser le logo du Client sur son Site ou sur tout autre support de communication.
Article 11 – Informatiques et libertés
En application de la loi n° 78-17 du 6 janvier 1978, il est rappelé que les données nominatives qui sont demandées au Client sont nécessaires au traitement de sa commande et à l’établissement des factures, notamment.
Ces données peuvent être communiquées aux éventuels partenaires du Prestataire chargés de l’exécution des présentes.
Le Client dispose, conformément aux réglementations nationales et européennes en vigueur d’un droit d’accès permanent de modification, de rectification et d’opposition s’agissant des informations le concernant.
Le Client pourra exercer ses droits en écrivant à l’adresse électronique suivante : [email protected] ou à l’adresse postale suivante : Limber – 47 rue Marcel Dassault – 92100 – Boulogne Billancourt.
Une réponse à la requête du Client lui sera adressée dans un délai de 30 jours.
Article 12 – Dispositions particulières applicables aux consommateurs
Dans l’hypothèse où le Client serait un consommateur au sens du droit de la consommation, les dispositions suivantes lui seront également applicables :
12.1. Rétractation
En acceptant les présentes Conditions Générales de Vente, le Client demande expressément au Prestataire l’exécution immédiate des dispositions prévues par les présentes avant l’expiration du délai de rétractation et renonce expressément à son droit de rétractation. En conséquence, en application de l’article L. 121-21-8 du code de la consommation, sous section 1 et 13, le Client ne pourra rétracter son engagement souscrit auprès du Prestataire.
12.2 Garanties applicables
Le Prestataire garantit, conformément aux dispositions légales et sans paiement complémentaire, le Client, contre tout défaut de conformité ou vice caché, provenant d’un défaut de conception ou de réalisation des Services commandés.
Afin de faire valoir ses droits, le Client devra informer le Prestataire, par écrit, de l’existence des vices ou défauts de conformité des Services.
Le Prestataire remboursera ou rectifiera ou fera rectifier dans la mesure du possible les Services jugés défectueux dans les meilleurs délais.
Le remboursement éventuel s’effectuera par crédit sur le compte bancaire du Client ou par chèque bancaire adressé au Client.
La garantie du Prestataire est limitée au remboursement des Services effectivement payés par le Client et le Prestataire ne pourra être considéré comme responsable ni défaillant pour tout retard ou inexécution consécutif à la survenance d’un cas de force majeure habituellement reconnu par la jurisprudence française.
La responsabilité du Prestataire ne saurait être engagée en cas de non respect de la législation du pays dans lequel les Services sont fournis, qu’il appartient au Client, qui est seul responsable du choix des Services demandés, de vérifier.
12.3 Déclarations
Le Client reconnaît avoir eu communication, préalablement à la passation de sa commande, d’une manière lisible et compréhensible, des présentes Conditions Générales de Vente et de toutes les informations et renseignements visés aux articles L111-1 à L111-7, et en particulier :
– les caractéristiques essentielles des Services commandés, compte tenu du support de communication utilisé et des Services concernés ;
– le prix des Services et des frais annexes ;
– les informations relatives à l’identité du Prestataire, à ses coordonnées postales, téléphoniques et électroniques, et à ses activités, si elles ne ressortent pas du contexte ;
– les informations relatives aux garanties légales et contractuelles et à leurs modalités de mise en œuvre ;
– les fonctionnalités du contenu numérique et, le cas échéant, à son interopérabilité ;
– la possibilité de recourir à une médiation conventionnelle en cas de litige ;
– les informations relatives au droit de rétractation.
Le fait de commander sur le Site emporte adhésion et acceptation pleine et entière des présentes Conditions Générales de Vente, ce qui est expressément reconnu par le Client, qui renonce, notamment, à se prévaloir de tout document contradictoire, qui serait inopposable au Prestataire.
Article 13 – Droit applicable et langue
Le présent Contrat est régi par le droit français.
Dans l’hypothèse où le présent Contrat serait traduit dans une ou plusieurs langues étrangères, seul le texte français ferait foi en cas de litige.
Article 14 – Litiges
Tout différend qui naîtra de l’interprétation, de l’exécution, de l’inexécution, ou des suites ou conséquences du présent Contrat sera soumis, dans l’hypothèse où le litige serait porté devant les juridictions civiles française.
Dans l’hypothèse où le Client est un professionnel au sens du droit de la consommation, il est fait expressément attribution de compétence au Tribunal de commerce de Nanterre.
Le Client est informé qu’il peut en tout état de cause recourir à une médiation conventionnelle ou à tout mode alternatif de règlement des différends (conciliation par exemple) en cas de contestation.
Article 15 – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Clauses de sous-traitance relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données – RGPD)
15.1 – Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles Limber (« le sous-traitant ») s’engage à effectuer pour le compte du client (« le responsable de traitement ») les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
15.2 – Description du traitement faisant l’objet de la sous-traitance
Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir les fonctionnalités de :
- Gestion des utilisateurs
- Identification des visiteurs via des formulaires affichés dans des call-to-action
- Gestion de listes de distribution de newsletters
La nature des opérations réalisées sur les données se limite à la collecte d’informations personnelles dont les responsable du traitement des données est à l’initiative. Les finalités du traitement sont l’identification de visiteurs et l’envoi de newsletters.
Les données à caractère personnel traitées sont :
- Prénom
- Nom
- Fonction
- Numéro de téléphone
- Photo de profil
D’autres données personnelles sont susceptibles d’être collectées lorsque le responsable du traitement des données met en place des champs de collecte personnalisés.
Les catégories de personnes concernées sont des professionnels.
Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires concernant ses utilisateurs suivantes :
- Prénom
- Nom
15.3 – Obligations du sous-traitant vis-à-vis du responsable de traitement
Le sous-traitant s’engage à :
- traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
- traiter les données conformément à l’article 2 et aux éventuelles instructions supplémentaires du responsable de traitement pouvant faire l’objet d’un annexe au présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
-
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
- Sous-traitance
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de 15 jours à compter de la date de réception de cette information pour présenter ses objections.
Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Exercice des droits des personnes
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au Responsable du traitement.
Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par email. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
- Mise en oeuvre du chiffrement des données utilisées par l’application Limber selon le protocole SSL;
- Mise en oeuvre de procédures de sauvegarde et de rétablissement des disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- Mise en oeuvre de tests d’intrusion et d’audits de sécurité à échéance régulière;
- Développement prioritaire de correctifs liés à aux failles de sécurité.
Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à :
Au choix des parties :
- détruire toutes les données à caractère personnel ou
- à renvoyer toutes les données à caractère personnel au responsable de traitement ou
- à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.
- Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
- Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
- les catégories de traitements effectués pour le compte du responsable du traitement;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- Documentation
Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
15.4 – Obligations du responsable de traitement vis-à-vis du sous-traitant
Le responsable de traitement s’engage à :
- fournir au sous-traitant les données visées à l’article 2 des présentes clauses
- documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
- superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant