Conditions de vente

Conditions générales de Hospitality Digital GMBH (Services Internet)

Hospitality Digital GmbH Metro-Strasse 1, 40235 Düsseldorf (« H.d. ») propose aux entreprises hôtelières et de restauration (« donneur d’ordre ») des prestations fournies gratuitement exclusivement par Internet et décrites en détail ci-après (les « prestations »). Certaines prestations ne sont disponibles qu’une fois que le donneur d’ordre s’est inscrit.

1. Champ d’application

1.1 H.d. ne fournit les prestations et autres avantages que selon les conditions générales énoncées ci-dessous (« CG »).

1.2 Toute condition générale divergente du donneur d’ordre ne s’applique pas, même si H.d. ne la rejette pas expressément et/ou fournit les prestations et/ou avantages sans réserve en parfaite connaissance du contraire et/ou de conditions générales du donneur d’ordre divergentes.

2. Détermination des prestations

2.1 Les prestations comprennent les avantages suivants, fournis par H.d. jusqu’à l’expiration du contrat :

(a) H.d. fournit l’espace de stockage à utiliser sur les systèmes de H.d., auxquels le donneur d’ordre peut accéder par Internet (« espace de stockage »), voir article 4.

(b) H.d. accorde au donneur d’ordre l’accès en ligne d’un logiciel permettant la création de sites web simples avec mises en page prédéfinies et de les stocker et les gérer sur l’espace de stockage, et/ou pour les rendre accessibles à des tiers (« logiciel »), voir l’article 5.

(c) H.d. est tenue de proposer au donneur d’ordre un sous-domaine de suffixe xyz.eatbu.com lié à l’espace de stockage, que le donneur d’ordre peut choisir selon sa disponibilité (« sous-domaine »), voir l’article 6.

2.2 H.d. peut proposer des avantages supplémentaires au donneur d’ordre, dont l’étendue doit être coordonnée avec le donneur d’ordre et qui sont fournis sous réserve des dispositions des présentes conditions générales.

2.3 H.d. peut adapter les prestations et autres avantages prenant en compte les évolutions techniques ou les nécessités, à condition que tout ajustement repose sur des motifs raisonnables pour le donneur d’ordre. H.d. peut interrompre les prestations et autres services suivant un délai de préavis raisonnable. H.d. est tenue d’informer le donneur d’ordre de la cessation des prestations en temps opportun.

3. Obligations du donneur d’ordre

3.1 Le donneur d’ordre doit s’assurer que les informations commerciales et les coordonnées fournies lors de la conclusion du contrat sont à jour, et ce pour toute la durée du contrat et informer rapidement H.d. de toute modification. Le donneur d’ordre doit en outre veiller à ce que l’adresse électronique fournie à H.d. soit régulièrement consultée afin d’obtenir des informations se rapportant au contrat.

3.2 Le donneur d’ordre est tenu de protéger toutes les informations d’accès qu’il reçoit de H.d. contre tout accès provenant de tiers non autorisés. Le donneur d’ordre est tenu d’informer H.d. dès qu’il a tout soupçon ou connaissance raisonnable d’une potentielle utilisation abusive des informations d’accès fournies.

3.3 Le donneur d’ordre est conscient que son site web peut être associé à H.d.. Par conséquent, le donneur d’ordre prend toutes les mesures nécessaires pour conserver les prestations qu’il propose et les services mis à disposition par H.d. ou des tiers séparés en fonction de leur contenu.

3.4 Si le donneur d’ordre découvre que son utilisation des prestations ou d’autres avantages entraîne une violation de la loi, le donneur d’ordre doit les suspendre immédiatement pour respecter la loi et supprimer tout contenu illégal.

4. Dispositions spéciales pour l’espace de stockage

4.1 L’espace de stockage est mis gratuitement à la disposition du donneur d’ordre. Par conséquent, H.d. ne peut garantir une disponibilité individuelle de l’espace de stockage. En outre, l’espace de stockage ne sera pas disponible pendant les travaux d’entretien nécessaires. H.d. s’efforcera de minimiser tout désagrément occasionné par les travaux d’entretien. H.d. est tenue de fournir au donneur d’ordre les autres spécifications de performance de l’espace de stockage avant la conclusion du contrat.

4.2 Le donneur d’ordre garantit, et s’engage à ce que tous les fichiers, y compris les HTML et autres documents, textes, images, graphiques, polices, vidéos, etc. (« contenu ») soient stockés, publiés et/ou disponibles sur l’espace de stockage et/ou à l’aide du logiciel conformément à la loi en vigueur. Le donneur d’ordre est, en particulier, tenu de ne stocker de contenus sur l’espace de stockage et/ou à l’aide du logiciel que s’il en détient les droits, y compris tout droit d’utilisation et d’exploitation en vertu de la loi sur les droits d’auteur, et ce contenu ne porte pas atteinte aux droits personnels de tiers. En outre, le donneur d’ordre n’a pas le droit de stocker, publier et/ou mettre à disposition sur l’espace de stockage et/ou à l’aide du logiciel tout contenu de nature immorale, en particulier pornographique, raciste ou discriminatoire. H.d. a le droit de supprimer tout contenu stocké sur l’espace de stockage et/ou à l’aide du logiciel en violation de l’article 4 ci-dessus et dont H.d. est informé par les organismes gouvernementaux, les tribunaux, le titulaire des droits ou autre tiers ou dont il obtient des connaissances de toute autre manière.

4.3 Le donneur d’ordre doit autoriser à H.d. les droits nécessaires à tout contenu qu’il stocke, publie et/ou met à la disposition du public sur l’espace de stockage et/ou à l’aide du logiciel, en particulier les droits requis pour stocker les contenus, y apporter tout ajustement technique, les rendre accessibles au public et pour les copier. H.d. ne peut avoir accès au contenu du donneur d’ordre présent sur l’espace de stockage que dans la mesure où cela est techniquement nécessaire pour fournir et/ou publier les contenus et dans la mesure où cela correspond aux autorisations contractuelles.

4.4 En outre, le donneur d’ordre n’a pas le droit d’exécuter ou d’organiser l’exécution de processus automatisés, scripts, logiciels ou d’autres données et/ou contenus sur l’espace de stockage et/ou de prendre ou ordonner toute mesure (à l’aide du logiciel), qui compromettrait de manière non négligeable les systèmes, réseaux et/ou autres matériels et logiciels, tels que les composants du réseau de H.d. et/ou de tiers. Au cas où H.d. apprendrait une telle dégradation, elle aurait le droit de mettre fin et/ou d’empêcher cette perturbation.

4.5 Le donneur d’ordre est tenu d’effectuer quotidiennement des sauvegardes de données afin de pouvoir récupérer les contenus hébergés en espace de stockage sans frais supplémentaires.

4.6 Le donneur d’ordre ne peut que rendre les sites web hébergés sur l’espace de stockage accessibles au public que s’ils ont été créés à l’aide du logiciel.

5. Dispositions spéciales concernant les logiciels

5.1 Le donneur d’ordre n’a droit à l’accès au logiciel que pour la création d’un site web à son nom et pour gérer son espace de stockage. H.d. est tenue de permettre l’accès au point de transfert au réseau public.

5.2 Le donneur d’ordre ne peut ni accéder, ni utiliser le logiciel au nom d’un tiers ou à d’autres fins. Il est expressément interdit au donneur d’ordre de copier le logiciel, de le mettre à la disposition de tiers, de le désassembler ou de le modifier de toute autre manière.

6. Dispositions spéciales concernant les sous-domaines

6.1 Lors de l’enregistrement du sous-domaine avec H.d., le donneur d’ordre doit se conformer aux exigences de la société Internet pour les noms et numéros attribués (« ICANN »), qui est l’entité qui attribue les domaines.com. Le donneur d’ordre ne peut enregistrer que de trois sous-domaines maximum auprès H.d..

6.2 Le donneur d’ordre s’engage et garantit que le sous-domaine ne sera sélectionné que conformément à la loi applicable et que, en particulier, le donneur d’ordre ne choisira que les noms du sous-domaine pour lesquels le donneur d’ordre détient les droits s’y rapportant, y compris la marque de commerce et/ou droits sur le nom. Le donneur d’ordre ne doit en outre enregistrer aucun nom de domaine pour le sous-domaine immoral ou contraire à l’ordre public. H.d. aura le droit de supprimer tous les sous-domaines qui ont été choisis en violation de l’article 6.2 et dont H.d. est informée par les organismes gouvernementaux, les tribunaux, le titulaire des droits ou d’autres tiers, ou dont il a pris connaissance de toute autre manière.

7. Dispositions spéciales pour les services supplémentaires

7.1 Nonobstant article 2.1(c), le donneur d’ordre peut enregistrer son propre nom de domaine et/ou utiliser un nom de domaine déjà enregistré et le lier à l’espace de stockage. H.d. renvoie le donneur d’ordre à un fournisseur de services externe pour l’enregistrement. Le contrat pour l’enregistrement d’un tel nom de domaine est conclu entre le donneur d’ordre et des fournisseurs de services externes. H.d. ne sera ni une personne contractante ni aucune autre partie à ce contrat.

7.2 H.d. fournira au donneur d’ordre une assistance technique pour la liaison de son propre nom de domaine avec l’espace de stockage.

8. Conclusion du contrat, terme, résiliation

8.1 Le contrat est réputé conclu lorsque le donneur d’ordre accepte l’offre pour la conclusion d’une convention régissant les prestations et autres avantages par H.d.. L’acceptation s’effectue généralement par H.d. à compter de la fourniture des prestations.

8.2 Le présent contrat est conclu pour une durée indéterminée et peut être résilié par le donneur d’ordre à tout moment et par H.d. avec une période de préavis de deux (2) semaines.

8.3 H.d. doit communiquer les résiliations par écrit ou par courrier électronique. Le donneur d’ordre résilie généralement en sélectionnant dans le logiciel l’option d’effacer son contenu et de le confirmer.

8.4 Cela n’affecte pas le droit des parties de résilier le contrat sans préavis pour bonne raison. Le non-respect par le donneur d’ordre d’une des obligations énoncées aux articles 3, 4, 5, 6, 10.2, et 10.3 constitue une bonne raison.

8.5 Après avoir résilié le contrat, indépendamment des motifs, H.d. doit effacer toutes les données stockées par le donneur d’ordre sur l’espace de stockage dans le contexte de la relation contractuelle, ainsi que du sous-domaine dans les trente (30) jours, à moins que le donneur d’ordre n’effectue lui-même la suppression à l’aide du logiciel.

9. Garantie et responsabilité, indemnisation

9.1 En ce qui concerne les prestations et les avantages que H.d. fournit gratuitement au donneur d’ordre, H.d. n’est tenue de rembourser au donneur d’ordre que les dommages subis par ce dernier en raison de vices frauduleusement dissimulés. H.d. ne doit pas être tenu responsable des défauts de propriété et/ou des défauts matériels pour les prestations et avantages fournis gratuitement.

9.2 H.d., ses agents indirects ou représentants légaux ne porte responsabilité pour les prestations et avantages fournis par H.d. au donneur d’ordre que dans les cas d’intention, de négligence grave ou de perte de vie coupable, de lésions corporelles ou de dommages à la santé ainsi que pour les vices frauduleusement dissimulés. En cas de perte de données, la responsabilité de H.d. ne sera toutefois limitée qu’aux coûts de recouvrement qui auraient été engagés si les données avaient été sauvegardées quotidiennement. Ceci n’affecte en rien la responsabilité en vertu de la Loi allemande sur la responsabilité des produits et de la Loi sur le salaire minimum.

9.3 Seul le donneur d’ordre est responsable du contenu et du nom du sous-domaine. Par conséquent, le donneur d’ordre doit, à première demande, indemniser et tenir H.d., ainsi que ses agents indirects et représentants légaux et toutes sociétés affiliées à H.d. conformément à l’article 15 de la loi allemande sur les sociétés par actions (AktG), à l’abri de toute réclamation de tiers envers H.d. leurs agents indirects, représentants légaux et/ou sociétés affiliées en raison des prestations et autres avantages ou s’y rapportant. Cela s’applique spécifiquement à toutes les violations de la marque commerciale, du droit d’auteur, de la protection des données et du droit de la concurrence. Cette indemnisation comprend également les frais juridiques nécessaires, y compris les frais de procédures d’arbitrage.

10. Protection des données, confidentialité

10.1 H.d. est responsable du traitement des données personnelles recueillies par le donneur d’ordre. H.d. traite les données personnelles uniquement aux fins du présent contrat, comme pour la mise en relation et l’offre des services. Si les données personnelles ne sont pas fournies, l’exécution du contrat n’est pas possible. Le traitement des données personnelles est fondé sur l’Article 6, Alinéa 1, Clause 1 (b) du Règlement général sur la protection des données (RGPD). Les données personnelles du donneur d’ordre seront supprimées à la résiliation du contrat, à moins que des obligations juridiques n’exigent qu’elles soient conservées plus longtemps. Dans ce cas, les données personnelles ne peuvent pas être utilisées à d’autres fins et sont supprimées aussitôt la période statutaire écoulée. Aux fins de l’exécution du contrat, H.d. fait appel à des prestataires de services, notamment dans le domaine de l’hébergement, de la maintenance et d’autres domaines. Ces prestataires de services peuvent être des sociétés externes ou des sociétés affiliées à H.d. conformément à la Section 15 et seq. de la German Stock Corporation Act (AktG). En passant des contrats avec ces fournisseurs de services, H.d. s’assure que lesdites données personnelles sont traitées conformément aux dispositions du RGPD. Cela s’applique également si les données personnelles sont traitées en dehors de l’U.E./EEE. Pour faire valoir les droits du donneur d’ordre en vertu du RGPD, notamment :

· le droit à l’information sur le traitement de ses données personnelles et le droit d’obtention d’un exemplaire de ses données (Article 15 du GRPD) ;

· le droit à la correction des données erronées et le droit de compléter les données incomplètes (Article 16 du RGPD) ;

· le droit à la suppression de ses données personnelles et, en cas de divulgation, le devoir de H.d. d’informer des tiers de la demande de suppression (Article 17 du RGPD) ;

· le droit de limitation du traitement de ses données personnelles (Article 18 du RGPD) ;

· le droit à la portabilité des données, afin que ses données personnelles lui soient remises dans un format structuré et lisible par machine, ainsi que le droit de transférer ses données à une autre personne responsable sans l’intervention de H.d. (Article 20 du RGPD) et ;

· le droit de s’opposer au traitement de ses données (Article 21 du RGPD),

le donneur d’ordre peut contacter le délégué à la protection des données de H.d. (privacy@hd.digital) à tout moment. Le donneur d’ordre peut également porter plainte auprès de l’organisme de supervision compétent s’il considère que le traitement des données enfreint les dispositions du RGPD (Article 77 du RGPD).


10.2 En ce qui concerne les tiers, le donneur d’ordre est exclusivement responsable de la conformité aux dispositions relatives à la protection des données, ce qui inclut le respect des obligations existantes de fournir des informations relatives au site web que le donneur d’ordre a créé avec le logiciel.

10.3 Les parties ne rendront aucune information confidentielle accessible à des tiers pour la durée du contrat et deux ans suivant son expiration et ne l’utiliseront pas à des fins non contractuelles. Toutes les informations relatives à l’information technique et au savoir-faire fournies au donneur d’ordre, ainsi que les informations identifiées par une des parties comme confidentielles et de valeur économique, doivent être considérées comme confidentielles.

10.4 Le devoir de confidentialité ne s’étend pas aux informations connues de l’autre partie sans que l’une des parties ait enfreint la confidentialité ou qui étaient déjà ou sont devenues connues du public ou qui doivent être mises à la disposition de tiers en raison de dispositions légales, d’une ordonnance du tribunal, ou d’une ordonnance administrative ou qui sont examinées par un tiers ayant prêté serment de garder le secret, et l’intention d’acheter une des entreprises.

11. Rémunération

11.1 Le donneur d’ordre ne doit pas de rémunération pour les prestations fournies par H.d. Les prestations sont fournies gratuitement.

11.2 L’article 11.1 n’affecte en rien les services de tiers fournis dans le cadre de prestations supplémentaires.

12. Dispositions diverses

12.1 H.d. a le droit de faire effectuer une partie ou l’intégralité des prestations qu’elle doit dans le cadre des dispositions du présent contrat, en particulier les services, par des sous-traitants. H.d. a l’intention de faire effectuer ces prestations par sa filiale Hospitality.systems GmbH.

12.2 H.d. n’a le droit de modifier ces conditions générales qu’après notification du donneur d’ordre, indiquant les modifications prévues. H.d. ne peut modifier ces conditions générales que dans la mesure où cela est raisonnable pour le donneur d’ordre, et si cette modification ne s’applique pas à l’une des obligations contractuelles ou dans la mesure où la modification ne met pas le donneur d’ordre dans une situation généralement inférieure. Le transfert déjà prévu des droits et obligations de H.d. décrits dans les présentes à leur filiale Hospitality systems GmbH est considéré comme raisonnable. Le donneur d’ordre peut contester toute modification de ces conditions générales dans les six (6) semaines suivant la réception de la notification, ou mettre fin au contrat sans préavis. Si le donneur d’ordre ne conteste pas la modification des conditions générales ou s’il ne le fait pas dans le délai de préavis, il sera supposé qu’il a consenti à la modification des CG. H.d. informera le donneur d’ordre des conséquences de la non-contestation et du droit de résilier le contrat sans préavis dans toutes les notifications se rapportant à une modification des conditions générales.

12.3 Si toute disposition du présent contrat s’avérait ou devenait en partie ou dans son intégralité invalide, inefficace, impraticable ou inapplicable (« disposition erronée »), ceci n’en affecterait ni l’efficacité ni la force exécutoire des autres dispositions du présent contrat. Au lieu de cela, les parties s’engagent dès aujourd’hui à remplacer la disposition erronée par une autre qui, dans la mesure permise par la loi, se rapproche le mieux de ce que les parties avaient prévu, conformément au sens et au but du contrat, si elles avaient reconnu l’erreur de la disposition. Si la disposition établit de manière erronée l’étendue ou la date des prestations (date limite ou date d’échéance), celle qui la remplace devrait se rapprocher le plus des mesure et dimension prévues et permises par la loi. Ceci s’applique aussi à toute lacune dans le présent contrat. L’intention exprimée par les parties, selon laquelle cette clause de divisibilité ne se traduit pas par un simple renversement de la charge de la preuve, mais que l’art. 139 du Code civil allemand (BGB) dans son ensemble ne s’applique pas.

12.4 Le présent contrat et toutes les réclamations et droits fondés sur ou en relation avec ce contrat seront exclusivement régis par la loi allemande et seront interprétés et appliqués en droit allemand. Les dispositions relatives aux conflits de lois ne s’appliquent pas. La Convention des Nations Unies sur les contrats de vente internationale de marchandises (CISG) ne s’applique pas.

12.5 Le présent contrat a été conclu en anglais et en langue [française/italienne]. Pour éviter tout doute, les parties conviennent que la version anglaise prévaudra.

12.6 Le lieu exclusif de juridiction pour tous les litiges découlant du présent contrat, de sa conclusion ou son exécution, ou s’y rapportant, est Düsseldorf – dans la mesure où la loi l’autorise.

Version : mai 2018/AG

TRAITEMENT DES COMMANDES

En confirmant les Conditions générales ci-dessus, le Mandant (la « Personne responsable ») et H.d (le « Responsable du traitement »), désignés ensemble par le terme « Parties » et individuellement par le terme « Partie », concluent également le Contrat de traitement des données (« CTD ») suivant.

Préambule

Dans le cadre de ses activités commerciales et conformément aux Conditions générales ci-dessus, le Responsable du traitement reçoit des données personnelles qui relèvent de la responsabilité de la Personne responsable. Les Parties acceptent les dispositions du présent CTD afin de respecter les obligations des parties en matière de protection des données conformément au droit européen sur la protection des données, et plus particulièrement au Règlement général de protection des données (Article 28 du RGPD).

1. Définitions

1.1 Les Données personnelles représentent toute information relative à une personne physique identifiée ou identifiable (« Personne concernée »). Une personne physique est considérée comme identifiable lorsqu'elle peut être identifiée, directement ou indirectement, en particulier par association à un identificateur, comme un nom, un numéro d'identification, des données géographiques, un identifiant en ligne ou une ou plusieurs caractéristiques particulières exprimant son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale (ci-après « Données »).

1.2 Le terme Traitement des données pour un tiers désigne la collecte, le traitement ou l'utilisation de données par le Responsable du traitement pour la Personne responsable.

2. Objet et contenu de la commande

2.1 Objet et durée de la commande

Les détails et la durée de la commande découlent des Conditions générales ci-dessus.

2.2 Type de données

Le type de données est décrit plus en détail dans les Conditions générales et la Politique de confidentialité.

2.3 Objectif de la collecte, du traitement ou de l'utilisation des données

L'objectif de la collecte, du traitement ou de l'utilisation des données est décrit plus en détail dans les Conditions générales et la Politique de confidentialité.

2.4 Nature et portée de la collecte, du traitement ou de l'utilisation des données

La nature et la portée de la collecte, du traitement ou de l'utilisation des données sont décrites plus en détail dans les Conditions générales et la Politique de confidentialité.

2.5 Catégorie de Personnes concernées

(a) Données appartenant au Mandant

(b) Clients

2.6 Mesures techniques et organisationnelles

(a) Les mesures techniques et organisationnelles que le Responsable du traitement doit mettre en œuvre sont énoncées dans l'Annexe (voir ci-dessous) du présent CTD. Le Responsable du traitement adaptera régulièrement ces mesures à l'état de la technique à ses propres frais, dans la mesure où le niveau de protection convenu n'est pas diminué et où les Personnes responsables sont immédiatement informées.

(b) Le Responsable du traitement a l'obligation d'autoriser la Personne responsable à vérifier la conformité sur site des mesures techniques et organisationnelles avant de commencer les activités de traitement en vertu du présent contrat. Le droit de vérification de la Personne responsable conformément à l'Article 2.10 reste inchangé.(c) Le Responsable du traitement doit s'assurer que les systèmes de traitement des données utilisés dans le cadre du CTD respectent les normes de « Protection des données dès la conception » et « Protection des données par défaut » conformément à l'état de la technique.

2.7 Correction, suppression et blocage de données, droit à la portabilité des données et droit d'opposition

(a) Les droits des personnes concernées par le traitement des données mis en œuvre par le Responsable du traitement, notamment les droits de rectification, de suppression et de blocage, de portabilité des données et d'opposition, doivent être revendiqués à l'encontre du contrôleur, qui est seul responsable de la protection de ces droits.

(b) Dans le cadre de ses activités pour la Personne responsable, le Responsable du traitement a le devoir de transmettre toute demande qu'il reçoit de la part de personnes concernées à la Personne responsable, afin d'assurer un traitement adéquat sans tarder. Si la Personne responsable et le Responsable du traitement jouent un rôle commun de personnes responsables extérieures, le Responsable du traitement est en droit de répondre à la demande indépendamment.

(c) Le Responsable du traitement doit également assister la Personne responsable à l'aide de mesures techniques et organisationnelles appropriées pour respecter son obligation de répondre aux personnes concernées.

(d) Conformément aux instructions de la Personne responsable, le Responsable du traitement doit rectifier, suspendre et/ou supprimer les données immédiatement, et au plus tard sous cinq (5) jours, et informer le Responsable du traitement avant cette échéance.

2.8 Devoirs du Responsable du traitement

(a) Le Responsable du traitement peut recueillir, traiter et utiliser des données uniquement dans le cadre de la commande et des instructions documentées de la Personne responsable.

(b) Le Responsable du traitement doit respecter les mesures techniques et organisationnelles définies dans l'Article 2.6 du présent CTD à intervalles réguliers et les envoyer sur demande.

(c) Le Délégué à la protection des données est nommé comme interlocuteur pour la protection des données par le Responsable du traitement. Il peut être contacté à l'adresse privacy@hd.digital. Si nécessaire, le Responsable du traitement peut également nommer un représentant conformément aux exigences de l'Article 27 du GRPD.

(d) Le Responsable du traitement est chargé d'assurer la confidentialité. Tout membre de l'organisme du Responsable du traitement autorisé à consulter les données de la Personne responsable doit être soumis à une obligation de confidentialité ou à un secret professionnel suffisant, et doit être informé des obligations spéciales de protection des données établies par le présent CTD, ainsi que des instructions et de l'objectif existants. Le Responsable du traitement mettra ces obligations à l'écrit et les fournira à la demande de la Personne responsable.

2.9 Justification des conditions de sous-traitance

(a) La justification de relations de sous-traitance est autorisée. Le Responsable du traitement doit prévenir la Personne responsable des changements correspondants à l'avance. La Personne responsable est en droit de s'y opposer.

(b) En cas de commande à un autre organisme de traitement, le Responsable du traitement doit s'assurer contractuellement que les obligations du Responsable du traitement établies en vertu du présent CTD s'appliquent également à l'autre organisme de traitement.

(c) Le Responsable du traitement doit contrôler les mesures techniques et organisationnelles mises en place par les autres organismes de traitement ponctuellement et régulièrement pendant la période de sous-traitance afin de protéger les données qu'il a fournies. La transmission de données est uniquement autorisée si l'autre Responsable du traitement a mis en œuvre des mesures techniques et organisationnelles au moins aussi strictes que celles établies dans le présent CTD.

(d) Le Responsable du traitement est entièrement responsable des sous-traitants qu'il emploie.

2.10 Droits d'audit de la Personne responsable

La Personne responsable est autorisée à vérifier le respect des réglementations en vigueur en matière de protection des données et du CTD pendant les heures ouvrables normales. Le Responsable du traitement accepte de fournir à la Personne responsable toutes les informations raisonnablement nécessaires pour effectuer l'inspection dans un délai raisonnable. Si la Personne responsable estime qu'un audit sur site de l'organisme Responsable du traitement est nécessaire, le Responsable du traitement doit s'assurer que la personne chargée d'effectuer l'audit a accès au bureau du Responsable du traitement et peut effectuer une inspection sur place des données stockées et des programmes de traitement des données. La Personne responsable est autorisée à faire appel à une tierce partie (un examinateur) pour effectuer la vérification ; elle sera désignée au cas par cas. La Personne responsable doit annoncer la tenu dudit audit par écrit au moins vingt (20) jours ouvrables à l'avance. Les frais engagés par le Responsable du traitement pour l'audit, au taux normal du marché, seront assumés par la Personne responsable.

2.11 Notifications d'infractions par le Responsable du traitement

(a) Le Responsable du traitement doit notifier la Personne responsable immédiatement, au plus tard quarante-huit (48) heures après une telle découverte, de toute infraction aux règles de protection des données de la Personne responsable ou des conditions du présent CTD par le Responsable du traitement ou des personnes ou sous-traitants qu'il emploie.

(b) La Personne responsable doit être notifiée de tout incident de perte, ou de transmission ou réception illégale de données par des tiers, quelle qu'en soit la cause. Le Responsable du traitement doit, en consultation avec la Personne responsable, prendre les mesures adéquates pour protéger les données et réduire les conséquences négatives potentielles pour les personnes concernées. Dans la mesure où les personnes responsables respectent les obligations de notification, le Responsable du traitement doit aider la Personne responsable à respecter ces obligations.

2.12 Instructions de la Personne responsable

(a) Le traitement des données de la Personne responsable par le Responsable du traitement doit être effectué uniquement dans le cadre du CTD et des instructions spécifiques indiquées par le Responsable du traitement.

(b) Le Responsable du traitement doit immédiatement respecter les instructions (personnelles) concernant la nature, la méthode et la portée du traitement, ou, le cas échéant, l'échéance établie par la Personne responsable.

(c) Le Responsable du traitement doit notifier la Personne responsable immédiatement s'il estime que les instructions données par la Personne responsable enfreignent les réglementations en matière de protection des données. Le Responsable du traitement doit pouvoir suspendre l'application des instructions concernées jusqu'à ce qu'elles aient été confirmées ou modifiées par une Personne responsable.

2.13 Suppression après exécution de la commande

Après exécution du travail contractuel, le Responsable du traitement doit remettre toutes les données qu'il a traitées pour le compte de la Personne responsable ou, avec l'accord préalable de la Personne responsable, les détruire conformément aux normes de protection des données ou les supprimer conformément à l'article précédent. Il est exclu de pouvoir disposer d'un droit de conservation pour les documents, les données, le traitement et autres résultats d'utilisation, ainsi que les supports de données associés, sauf si le droit de l'Union européenne ou d'un État-membre de l'Union européenne exige que les données soient conservées.

3. Obligations supplémentaires du Responsable du traitement

3.1 Le Responsable du traitement utilise les données fournies pour traitement à cette fin uniquement. Il est interdit de créer des copies ou des doubles des données sans que la Personne responsable n'en ait été informée et n'y ait consenti par écrit, sauf pour les services commandés dans le CTD. Le Responsable du traitement doit s'assurer que les données qu'il traite pour la Personne responsable sont séparées des autres données. La transmission de données de la Personne responsable à un tiers par le Responsable du traitement est soumise au consentement écrit de la Personne responsable.

3.2 Le Responsable du traitement doit apporter une assistance raisonnable aux personnes responsables en les défendant contre tout recours basé sur une infraction prétendue ou avérée aux exigences de protection des données. La Personne responsable, quant à elle, doit étudier les réclamations des sujets des données de manière appropriée dans le cadre de sa responsabilité en matière de protection des données et les traiter.

3.3 Le Responsable du traitement reconnaît que les informations sont fournies aux personnes concernées sur la base d'un droit à l'information et exclusivement par l'intermédiaire de la Personne responsable ou d'une personne autorisée par cette dernière. Le Responsable du traitement est tenu de fournir à la Personne responsable les informations requises en temps voulus et de soutenir la Personne responsable. Si le Responsable du traitement lui-même agit également en tant que Personne responsable externe, ces requêtes peuvent également être traitées en conséquences et la Personne responsable, informée en conséquence.

3.4 Le Responsable du traitement doit aider le contrôleur à préparer les index nécessaires pour la procédure, le cas échéant.

3.5 Le Responsable du traitement doit aider la Personne responsable à mener des évaluations d'impact de la protection des données si un type de traitement est susceptible de faire peser un risque élevé sur les droits et libertés des personnes physiques.

3.6 Le Responsable du traitement convient d'informer la Personne responsable immédiatement des résultats des inspections menées par les autorités de surveillance de la protection des données dans la mesure où ceux-ci sont liés au présent CTD. Le Responsable du traitement informera les personnes responsables de toute réclamation émanant des autorités de surveillance de la protection des données entrant dans le domaine de compétence du Responsable du traitement et apportera une solution à toute réclamation identifiée conformément à la loi.

4. Responsabilité

4.1 La Personne responsable est garante de la licéité du traitement des données, ainsi que de la protection des droits des sujets des données.

4.2 Par dérogation à l'article 4.1, le Responsable du traitement est en charge des réclamations émanant des sujets des données dues à des infractions aux dispositions légales en vigueur ou aux dispositions du CTD.

4.3 Vis-à-vis de la Personne responsable, le Responsable du traitement n'engage sa responsabilité qu'en cas de la négligence volontaire et grave entrant dans le cadre des clauses d'exclusion et de limitation de responsabilité autorisées par la loi.

5. Dispositions finales

5.1 Le Contrôleur doit informer le Responsable du traitement immédiatement et complètement s'il détecte des erreurs ou des irrégularités dans le traitement des données par le Responsable du traitement pendant l'audit.

5.2 Le présent CTD peut être modifié et dénoncé selon les mêmes modalités que les Conditions générales ci-dessus.

5.3 La nullité d'une ou de plusieurs dispositions du présent CTD n'affecte pas l'applicabilité du CTD. Le cas échéant, les Parties doivent adopter une autre disposition juridiquement valable, ayant une portée économique aussi proche que possible de la disposition inapplicable. Il en va de même en cas de carence.

5.4 Le CTD est soumis au même droit que les Conditions générales ci-dessus.

5.5 En cas de contradiction entre le CTD et d'autres accords conclus entre les parties, les dispositions du présent CTD prévalent.

Statut : 2018/AG


Mesures techniques et organisationnelles

En tenant compte de l'art de la technique, des coûts de mise en œuvre, ainsi que de la nature, de la portée, des circonstances et des objectifs du traitement, mais aussi de la probabilité et de la gravité variables du risque pour les droits et libertés des personnes physiques, le Responsable du traitement doit prendre des mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adapté au risque ; ces mesures incluent, entre autres, les suivantes :

• la pseudonymisation et le chiffrement des données ;

• la capacité de garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résistance des systèmes et services de traitement ;

• la capacité de restaurer rapidement la disponibilité des données et leur accessibilité en cas d'incident physique ou technique ;

• un processus de révision, examen et évaluation périodiques de l'efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement.

Sans préjudice de ce qui précède, les mesures spécifiques suivantes seront prises :

1. Contrôle d'accès

Mesures visant à empêcher les personnes non autorisées d'accéder au système de traitement des données :

• Définition des caractéristiques du groupe de personnes autorisé et documentation correspondante ;

• Contrôle des accès électroniques ;

• Création de badges d'accès ;

• Élaboration de directives pour les personnes extérieures ;

• Alarme ou sécurité en-dehors des heures ouvrables ;

• Répartition des actifs dans différentes zones de sécurité ;

• Élaboration de directives concernant la gestion des clés (cartes) ;

• Portes sécurisées (dispositif d'ouverture de porte électronique, lecteur de badge d'identification, vidéosurveillance) ;

• Introduction de mesures de sécurité sur site (par ex. détection/notification des intrusions).

2. Contrôle des accès

Mesures visant à empêcher les personnes non autorisées d'accéder au système et aux procédures de traitement des données :

• Définition du groupe de personnes ayant accès aux systèmes de traitement des données ;

• Élaboration de directives pour les personnes extérieures ;

• Protection par mot de passe des ordinateurs personnels.

3. Contrôle des accès

Mesures visant à s'assurer que les personnes autorisées à utiliser les techniques de traitement des données ne peuvent y accéder que sous réserve de leur autorisation :

• Introduction de droits d'accès limités en fonction des données et des postes occupés ;

• Obligation de s'identifier sur l'équipement de traitement des données (par ex. par identification et authentification) ;

• Introduction de politiques en matière d'accès et de rôles utilisateurs ;

• Évaluation des protocoles en cas d'événement préjudiciable.

4. Contrôle des transmissions

Mesures visant à s'assurer que les données ne peuvent pas être lues, copiées, modifiées ou supprimées pendant leur transmission électronique ou durant leur transfert ou leur stockage sur des supports de données et qu'il est possible de vérifier et de déterminer les horaires de transmission des données.

• Chiffrement

5. Contrôle des entrées

Mesures visant à s'assurer qu'il est possible de vérifier et déterminer a posteriori si une personne, et qui, a saisi, modifié ou supprimé des données des systèmes informatiques.

• Enregistrement des saisies de données.

6. Contrôle des commandes

Mesures visant à s'assurer que les données de la commande peuvent seulement être traitées conformément aux instructions de la Personne responsable.

• Documentation des différentes compétences et obligations de la Personne responsable et du Responsable du traitement ;

• Mise en service officielle ;

• Contrôle des résultats de travail.

7. Contrôle de disponibilité

Mesures visant à s'assurer que les données sont protégées contre la destruction ou la perte accidentelle.

• Mise en œuvre d'un programme de sauvegardes régulières ;

• Stockage sécurisé des sauvegardes de données dans des armoires de sécurité ignifuges et étanches.

• Mise en place d'un système d'alimentation de secours et d'un système de protection contre les surtensions et contrôle régulier de ceux-ci ;

• Introduction d'un plan d'urgence ;

• Procès-verbal de mise en place d'une gestion de crise et/ou d'urgence.

8. Contrôle de séparation

Mesures visant à s'assurer que les données collectées à différentes fins peuvent être traitées séparément.

• Séparation des données de chaque client du Responsable du traitement.

Version : Mai 2018/AG