ACCORD DE CONFIDENTIALITÉ SUR LA PROTECTION DES DONNÉES

Les prestations réalisées dans le cadre de la relation commerciale entre les Parties impliquent notamment le traitement par la Société EBRIGADE TECHNOLOGIE (ci-après, dénommée « EBRIGADE » ou le « Sous-traitant ») de données à caractère personnel appartenant au client (ci-après dénommée le « Client » ou le « Responsable de traitement ») (ci après dénommées ensemble « les Parties »).

Dans ce cadre, le présent « Accord traitement de données à caractère personnel » (ci-après l’« Accord »), qui vaut avenant au contrat précédemment conclu entre les Parties si tel est le cas, est conclu entre les Parties afin de déterminer les conditions dans lesquelles EBRIGADE, qui agit en qualité de sous-traitant au sens du Règlement Européen pour la Protection des Données UE 2016/679 applicable le 25 mai 2018 (ci-après le « RGPD »), pourra traiter les données personnelles.

1. DEFINITIONS

Pour les besoins des présentes et nonobstant toutes autres définitions prévues dans l’Accord, les termes suivants auront le sens qui est donné ci-dessous :

  • « Accord » : désigne le présent Accord sur la Protection des Données complété par l’Annexe 1 « Modalités de traitement des données à caractère personnel ». 
  • « Autorité de régulation » : désigne toute autorité compétente en matière de protection des Données Personnelles. En France, l’autorité de contrôle compétente est la CNIL. 
  • « Contrat » : désigne les Conditions Générales de Service acceptées par le Responsable de traitement.
  • « Destinataire autorisé » : désigne un membre du personnel ou un Sous-traitant de EBRIGADE qui a un besoin légitime d’accéder aux Données personnelles dans le cadre de l’exécution du Contrat.
  • « Données » : Désigne tous types d’informations et/ou données auxquelles les Parties ont accès dans le cadre des relations contractuelles, quel que soit le format ou le support, que ce soit des Données personnelles ou non (ex : données financières, données clients, données stratégiques, techniques, professionnelles, administratives, commerciales, juridiques, comptables, etc.).
  • « Données personnelles » : a le sens qui lui est donné au sens de l’article 4 du RGPD.
  • « Données sensibles » : a le sens qui lui est donné au sens de l’article 9 du RGPD.
  • « Finalité autorisée » : désigne l’objet du Traitement de Données personnelles mis en œuvre par EBRIGADE, conformément à l’Annexe 1 « Modalités de traitement des données à caractère personnel ».
  • « Instructions » : désigne l’ensemble des instructions écrites par le Responsable de Traitement à destination de EBRIGADE. Ces instructions répondent à un formalisme strict et ne sauraient être considérées comme telles que dans la mesure où elles sont formulées par écrit sous la forme du présent Accord, d’un courrier électronique ou d’un courrier papier officiel émanant d’une personne dûment habilitée. 
  • « Pays tiers » : désigne tout Etat non membre de l’Union européenne.
  • « Personne concernée » : désigne toute personne physique dont les Données personnelles font l’objet d’un Traitement.
  • « Mesures de sécurité » : désigne les mesures de sécurité physiques, techniques et organisationnelles de EBRIGADE et mises à jour régulièrement aux fins d’assurer la confidentialité, la disponibilité et l’intégrité des Données Personnelles. 
  • « Réglementation sur la protection des données » : désigne la réglementation en vigueur applicable au Traitement de Données Personnelles et, en particulier :
  • le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 dit « Règlement Général sur la Protection des Données » (ci-après « RGPD ») ;
  • la loi « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée ; 
  • toute législation entrant en vigueur et susceptible d’affecter les Traitements visés par le présent Accord ; 
  • tout guide de bonnes pratiques publié par les Autorités de régulation compétentes ou le Comité Européen sur la Protection des Données.
  • « Responsable de Traitement » : a le sens qui lui est donnée à l’article 4 du RGPD. 
  • « Services » : désigne les prestations assurées par EBRIGADE dans le cadre du Contrat.
  • « Sous-Traitant » : a le sens qui lui est donné à l’article 4 du RGPD. Le(s) sous-traitant(s) de EBRIGADE qui effectue(nt) des Traitements de Données personnelles en suivant strictement les Instructions délivrées par le Responsable de Traitement est(sont) qualifié(s) de « Sous-traitant(s) ultérieur(s) ».
  • « Traitement » : a le sens qui lui est donnée à l’article 4 du RGPD.
  • « Violation de Données » : désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès à ou la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, stockées ou traitées.

2. DUREE ET HIERARCHISATION CONTRACTUELLE

2.1. Le présent Accord entre en vigueur à compter de l’acceptation du Contrat par le Responsable de Traitement et reste applicable pour toute la durée du Contrat.

2.2. Le présent Accord se substitue à toute clause applicable en matière de protection des Données personnelles. En cas de contradiction, les Parties conviennent expressément que le présent Accord prévaut sur le Contrat ou sur tout autre accord portant sur la prestation de Services.

3. NOMINATION ET ROLE DE EBRIGADE

3.1. Le Client, en sa qualité de Responsable de Traitement, désigne EBRIGADE en qualité de Sous-traitant pour traiter les Données personnelles en son nom et pour son compte en vue d’atteindre les Finalités autorisées visées à l’Annexe 1 du présent Accord dans le cadre de la réalisation des Services. 

4. GARANTIE

4.1. EBRIGADE garantit au Client qu’elle :

  • traite uniquement les Données personnelles nécessaires aux Finalités autorisées, conformément aux Instructions définies en Annexe 1, et s’interdit de traiter les Données personnelles à d’autres fins ;
  • préserve la confidentialité des Données personnelles traitées dans le cadre du présent Accord ;
  • veille à ce que les Destinataires autorisés : 
  1. s’engagent à respecter la confidentialité des Données Personnelles ou soient soumis à une obligation légale appropriée de confidentialité ;
  2. soient sensibilisés aux problématiques relatives à la protection des Données personnelles ;
  • respecte la Réglementation sur la protection des données ainsi que les Instructions formulées par le Responsable de Traitement, et s’assure de leur respect par les Destinataires autorisés et Sous-traitants ultérieurs ;
  • prend en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des Données par défaut ;
  • coopère et se conforme aux instructions ou aux décisions de toute Autorité de régulation, dans un délai qui permet au Client de respecter les délais imposés par lesdites Autorités ; et
  • ne fait pas ou omet de faire quelque chose qui amènerait le Client à enfreindre la Réglementation sur la protection des données.

4.2. EBRIGADE fait appel aux services d’un prestataire disposant de l’agrément « Hébergeur Agréé de Données de Santé » prévu à l’article Article L. 1111-8 du Code de la santé publique. 

5. COOPERATION ET ASSISTANCE

EBRIGADE s’engage à : 

  • désigner un interlocuteur privilégié chargé de la représenter auprès du Client ;
  • coopérer activement avec le Client afin de s’assurer du respect de la Réglementation sur la protection des Données personnelles. A ce titre, EBRIGADE s’engage à mettre à disposition du Client tous les moyens raisonnables en sa possession en vue de lui fournir des informations sur les Traitements confiés et une assistance en cas de plainte, de demande d’avis, de communication, ou de faille réelle ou présumée de sécurité affectant des Données personnelles. EBRIGADE s’engage en outre à ne faire aucune déclaration ou annonce publique à un tiers, y compris à une Autorité de régulation, sans avoir, au préalable, consulté le Client concernant le contenu d’une telle déclaration ou annonce publique, sauf disposition expressément contraire prévue par le Droit d’un Etat membre ou Pays tiers ;
  • aider le Client pour la réalisation d’analyses d’impact relative à la protection des Données personnelles, en lui fournissant toutes les informations demandées et nécessaires concernant les Traitements opérés, et pour la réalisation de la consultation préalable de l’autorité de contrôle ;
  • modifier, transférer et / ou supprimer les Données personnelles détenues par lui ou en son nom par un Sous-traitant ultérieur, conformément à toute Instruction écrite du Client ;
  • notifier le Client : 
  1. avant d’effectuer tout travail de maintenance sur les Services de EBRIGADE pouvant affecter l’activité du Client ;
  1. de tout progrès dans la technologie et les méthodes de travail qui impliquerait de réviser les Mesures de sécurité ;
  • informer le Client immédiatement :
  1. si des Instructions délivrées par le Client relatives aux Traitements sont illégales ou lui paraissent contraires à la doctrine et aux préconisations de l’Autorité de régulation ;

Si le Sous-traitant considère qu’une Instruction constitue une violation de la Réglementation sur la protection des données, il en informe immédiatement le Client. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un Pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. 

  1. en cas de survenance d’une Violation de Données personnelle dans les conditions prévues à l’article 6.2 du présent Accord ;

(iii) si EBRIGADE ou un Sous-traitant ultérieur reçoit une plainte, un avis ou une communication d’une Autorité de régulation qui concerne directement ou indirectement le(s) Traitement(s) ou la conformité de l’une ou l’autre Partie à la Réglementation sur la protection des données ; et 

(iv) si EBRIGADE ou un Sous-traitant ultérieur reçoit une plainte, un avis ou une communication d’une Personne concernée par le Traitement dans le cadre de l’exercice de ses droits.

  • aider le Client à respecter les obligations énoncées aux articles 32 à 36 du RGPD en tenant compte de la nature du Traitement et des informations mises à la disposition de EBRIGADE. 

6. SECURITE

6.1. EBRIGADE s’engage auprès du Client à : 

  • s’assurer que des mesures techniques et organisationnelles appropriées ont été mises en place contre la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l’accès aux Données personnelles détenues ou traitées par lui, y compris toutes les mesures nécessaires pour assurer la conformité avec les exigences de sécurité des Données personnelles dans la Réglementation sur la protection des données. 
  • mettre en œuvre les Mesures de sécurité précisées en Annexe 1 ; 
  • limiter l’accès aux Données personnelles aux seules personnes qui agissent sous son autorité, et ce aux seules Données personnelles strictement nécessaire pour l’exécution des Services faisant l’objet des Traitements prévus au présent Accord ;
  • veiller à ce que ses systèmes informatiques soient :
  1. suffisamment protégés entre autre contre les virus et l’interception de Données personnelles à l’intérieur du réseau 
  2. en capacité de rétablir la disponibilité des Données personnelles et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique ;

6.2. En cas de survenance d’une Violation de Données personnelles, réelle ou potentielle, affectant les Services de EBRIGADE ou d’un Sous-traitant ultérieur, EBRIGADE s’engage à :

  • notifier au Client toute faille de sécurité pouvant entraîner une Violation de Données personnelles dans les meilleurs délais suivant la connaissance de ladite faille par message électronique ;
  • accompagner la notification de toute documentation utile afin de permettre au Client, si nécessaire, de procéder à une notification de cette violation auprès de l’Autorité de régulation ou de la Personne concernée. A ce titre, EBRIGADE précisera dans la mesure du possible les points suivants :

(i) la description de la nature de la Violation de Données personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données personnelles concernés ;

(ii) le nom et les coordonnées du délégué à la protection des données et/ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

(iii) la description des conséquences probables de la Violation de Données personnelles ; et

(iv) la description des mesures prises ou envisagées par EBRIGADE pour remédier à la Violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 

  • communiquer les informations définies ci-avant de manière échelonnée et sans retard indu dans le cas où il n ’est pas possible pour EBRIGADE de fournir toutes les informations précisées en même temps, ou si des précisions peuvent être apportées sur certains éléments déjà communiqués.

7. ACCOUNTABILITY

EBRIGADE s’engage auprès du Client, dans une logique de responsabilisation, à :

  • tenir régulièrement à jour le registre des activités de traitements tel que prévu à l’article 30 2. du RGPD, et conserver une trace écrite de tout Traitement et Instruction relative aux Traitements effectués pour le compte du Client ;
  • tenir régulièrement à jour le registre des failles de sécurité qui est renseigné par EBRIGADE dès la survenance d’une Violation de Données personnelles, que cette violation ait, ou non, fait l’objet d’une notification auprès des services de l’Autorité de régulation ; 
  • documenter, dans la mesure du possible, l’ensemble des procédés mis en place par EBRIGADE en matière de protection des Données personnelles au travers de ses Mesures de sécurité.

8. DESTINATAIRES DES DONNEES PERSONNELLES 

8.1 EBRIGADE garantit au Client qu’elle :

  • restreint l’accès aux Données personnelles aux seuls Destinataires autorisés et Sous-traitants ultérieurs ayant besoin d’avoir accès aux Données ;
  • veille à ce que les Données personnelles soient transférées de manière sécurisée aux Destinataires et Sous-traitants ultérieurs autorisés ;
  • impose aux Sous-traitants ultérieurs des obligations de confidentialité et de sécurité juridiquement contraignantes équivalentes à celles contenues dans le présent Accord ; et
  • s’assure que les Sous-traitants ultérieurs respectent la Réglementation sur la protection des données.

8.2. Dans le cadre de la réalisation des Services, la société EBRIGADE peut faire appel à un Sous-traitants ultérieurs pour mener des Traitements spécifiques. Dans ce cas, il informe préalablement le Client de tout changement envisagé concernant l’ajout et le remplacement d’autres Sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du Sous-traitant ultérieur et les dates du contrat de sous-traitance. Le Client, informé par EBRIGADE, dispose d’un délai maximum de 7 jours ouvrés à compter de la date de réception de cette information pour présenter des objections légitimement fondées en droit et en fait dans le délai imparti. EBRIGADE ne mettra en œuvre la sous-traitance ultérieure seulement en l’absence d’objections légitimement fondées en droit et en fait de la part du Client.

8.3. Toute sous-traitance ultérieure réalisée dans le cadre des Services ne libère pas EBRIGADE de ses responsabilités et obligations envers le Client en vertu du présent Accord.

8.4 Le Client autorise EBRIGADE, par les présentes de manière expresse et sans réserve, à faire appel aux sociétés désignées en Annexe 1 en qualité de Sous-traitant ultérieur. 

9. PERSONNES CONCERNEES

9.1. EBRIGADE s’engage auprès du Client, dans le cadre d’une demande d’exercice de droits, à :

aviser le Client, par courrier électronique, immédiatement et dans un délai maximal de cinq (5) jours ouvrables de toute demande d’une Personne concernée souhaitant exercer ses droits en vertu de la Réglementation sur la protection des données ;

  • coopérer pleinement avec le Client en vue de répondre, dans des délais raisonnables compte tenu de leur nature et de leur nombre, aux demandes des Personnes concernées souhaitant exercer leurs droits en vertu de la Réglementation sur la protection des données, dès lors que le Client n’a pas tous les éléments en sa possession lui permettant de gérer ces demandes d’exercice de droits ; et

9.2. Il incombe au Client de fournir l’information aux Personnes concernées par les opérations de Traitement au moment de la collecte des Données personnelles.

10. TRANSFERTS VERS LES PAYS TIERS

10.1. EBRIGADE n’effectue aucun transfert de Données Personnelles à destination de Pays tiers sans le consentement préalable et écrit du Client.

10.2. EBRIGADE se conforme aux Instructions délivrées par le Client concernant les transferts de Données vers des Pays tiers, sauf dans l’hypothèse où EBRIGADE serait tenue, conformément aux lois applicables, de transférer des Données personnelles vers un Pays tiers.

10.3. Le Client consent par le présent Accord au transfert de Données personnelles aux entités et aux emplacements mentionnés en Annexe 1, aux fins de la stricte exécution des Services, et à condition que :

  • le Pays tiers soit un pays qui, selon la Commission européenne, justifie d’un niveau adéquat de protection des Données Personnelles ; ou
  • EBRIGADE satisfasse à l’une des conditions suivantes :
  1. EBRIGADE conclut ou obtient du Sous-Traitant Ultérieur un accord sur le transfert de données reprenant les modèles de Clauses Contractuelles Types élaborés par la Commission européenne ;
  1. Le Sous-Traitant Ultérieur est inscrit sur la liste d’un accord spécifique avec l’Union Européenne en cours de validité ; ou
  1. Les transferts effectués avec le Sous-Traitant Ultérieur s’inscrivent dans le régime d’exception visé à l’article 49 du Règlement général sur la protection des données n°2016/679.

10.4. EBRIGADE veille à ce qu’aucun transfert ultérieur de Données personnelles vers un autre Pays tiers n’ait lieu à moins que le Client n’accorde son consentement préalablement à ce transfert, ou que ce transfert ultérieur réponde aux exigences posées par l’article 10.3 des présentes.

11. PROPRIETE DES DONNEES

11.1 Dans le cadre des activités de Traitement, il est expressément convenu entre les Parties que l’ensemble des Données fournies par le Client à EBRIGADE demeurent la seule propriété pleine et entière du Client.

11.2 Les statistiques anonymisées d’utilisation des Services demeurent la propriété pleine et entière de EBRIGADE.

12. RESPONSABILITÉ

12.1. EBRIGADE accepte d’indemniser le Client des seuls dommages directs matériels et immatériels subis par lui et ayant pour origine un défaut ou une négligence de EBRIGADE, de ses employés, de ses représentants ou de ses Sous-traitants ultérieurs dans la sécurité des Données personnelles.

13.2. EBRIGADE s’engage à mettre en œuvre tous les moyens nécessaires et raisonnables pour assurer la sécurité des Traitements, et sera dès lors responsable des dommages liés à une défaillance de sécurité imputable exclusivement à EBRIGADE entraînant une indisponibilité, une perte de traçabilité, un doute sur l’intégrité ou un défaut de confidentialité des Données personnelles. Il est néanmoins expressément convenu entre les parties que le risque zéro en matière de sécurité n’existe pas et que EBRIGADE reste soumise à une obligation de moyens. Elle ne saurait non plus être responsable des dommages liés à une défaillance de sécurité qui seraient imputables aux choix technologiques, logiciels ou informatiques opérés par le Client, notamment pour des raisons de restriction budgétaires, alors que EBRIGADE aura proposé d’autres solutions assurant un niveau de sécurité et des garanties supérieures.

13.3. La responsabilité de EBRIGADE à l’égard des coûts, des dépenses, des pertes, des dommages ou d’autres responsabilités découlant de ou en relation avec la violation du présent Accord (que ce soit par EBRIGADE ou ses employés, représentants ou Sous-traitants) ne pourra être engagée que dans un délai d’un (1) an à compter de la connaissance du dommage.

13. RÉVERSIBILITÉ

13.1. À l’expiration ou à la résiliation du Contrat pour quelque raison que ce soit, les prestations de réversibilité proposées par EBRIGADE ont vocation à assurer la continuité de l’activité du Client. A ce titre, EBRIGADE s’engage dans un délai raisonnable à respecter les instructions stipulées à l’Annexe 1 pouvant consister, soit à : 

  • Fournir au Client les Données personnelles qu’elle détient dans un format ouvert selon les éventuelles modalités prévues dans le Contrat de prestation de services lorsque tel est le cas ;
  • Anonymiser toutes les Données personnelles.

13.2. La restitution des Données Personnelles s’accompagne de la suppression définitive de l’ensemble des éléments précités dans les meilleurs délais à compter de la fin du ou des Traitements à moins que le droit de l’Union ou le droit de l’État-membre applicable n’en dispose autrement. 

13.3. A défaut d’instructions spécifiques concernant la réversibilité des Données personnelles ou de leur reprise, EBRIGADE procèdera à la suppression définitive de l’ensemble des éléments précités dans les meilleurs délais à compter de la fin du ou des Traitements à moins que le droit de l’Union ou le droit de l’État-membre applicable n’en dispose autrement.

14. AUDIT ET CONTRÔLE

14.1. Le Client peut commander la réalisation d’audits sur pièces afin de s’assurer du niveau de conformité de EBRIGADE. Ne sont pas concernées par l’audit sur pièces les éléments confidentiels confiés à EBRIGADE par d’autres clients.

14.2. Le Client peut commander la réalisation d’audits objectifs de conformité à la Réglementation sur la protection des données sur les opérations de Traitement réalisées aux fins de l’exécution des Services dans les conditions définies ci-après :

  • l’audit est diligenté par un auditeur extérieur sélectionné ensemble par les Parties pour son expertise, son indépendance et son impartialité ;
  • l’auditeur sélectionné est lié au Parties par un accord de confidentialité et/ou par le secret professionnel ;
  • le Client avise, par écrit et moyennant le respect d’un préavis minimum de quinze (15) jours ouvrés, EBRIGADE de son intention de faire procéder à un audit de conformité ;
  • En aucune manière, l’audit réalisé ne saurait détériorer ou ralentir les Services proposés par EBRIGADE ou porter atteinte à la gestion organisationnelle de EBRIGADE. Les opérations d’audit ne devront pas comporter d’actions pouvant potentiellement endommager l’infrastructure de EBRIGADE ni interférer avec les autres Services procurés par EBRIGADE aux autres clients ;
  • Un exemplaire du rapport d’audit identique est remis au Client ainsi qu’à EBRIGADE des suites de la réalisation de la mission d’audit et pour lequel des observations pourront être apportées par les Parties. Ce rapport pourra, le cas échéant, faire l’objet d’un examen approfondi dans le cadre d’un comité de pilotage ;
  • les frais de l’audit de conformité seront portés à la charge exclusive du Client ;
  • le Client ne saurait commander des audits de conformité que dans la limite de un (1) audit par an ; et
  • EBRIGADE disposera d’un délai de trois (3) mois à compter de la communication du rapport d’audit pour corriger à ses frais les manquements et/ou non-conformités constatés. Le cas échéant, EBRIGADE pourra de façon exceptionnelle allonger ce délai de trois (3) mois après avoir expressément informé le Client et justifier objectivement un tel allongement.

14.3. EBRIGADE s’engage à permettre l’accès de l’auditeur sélectionné à ses sites, installations, documents et informations nécessaires en vue d’évaluer son bon niveau de conformité, et coopère pleinement avec lui en vue de la bonne réalisation de sa mission.

14.4. Dans l’hypothèse d’un contrôle réalisé par une Autorité de régulation compétente pouvant intéresser les Traitements du Client, EBRIGADE s’engage à coopérer pleinement avec l’Autorité de régulation.

14.5. Dans l’hypothèse d’un contrôle réalisé par une Autorité de régulation compétente à l’égard du Client, EBRIGADE s’engage à assister pleinement celui-ci concernant les Traitements réalisés dans le cadre des Services.

15. MODIFICATION DE L’ACCORD

15.1. Cet Accord ne peut être modifié, sauf par écrit signé par les représentants dûment autorisés de chacune des Parties.

15.2. En cas de modification de la Réglementation sur la protection des Données personnelles, il est convenu que les Parties pourront réviser les dispositions du présent Accord et négocier de bonne foi pour se conformer à la Réglementation sur la protection des Données personnelles mise à jour.

16. DROIT APPLICABLE ET JURIDICTION COMPETENTE

16.1. LE PRÉSENT ACCORD SERA RÉGI ET INTERPRÉTÉ CONFORMÉMENT À LA LOI FRANÇAISE ET TOUT LITIGE DÉCOULANT DE OU EN RELATION AVEC LE PRÉSENT ACCORD QUANT À SA VALIDITÉ, SON INTERPRÉTATION OU ENCORE SON EXÉCUTION SERA SOUMIS AUX JURIDICTIONS DU RESSORT DE LA COUR D’APPEL DE PARIS, AINSI QU’À LA COMMISSION NATIONALE INFORMATIQUE ET LIBERTÉS (CNIL) AUXQUELLES CHACUNE DES PARTIES SE SOUMET IRRÉVOCABLEMENT.

16.2. AVANT TOUTE ACTION CONTENTIEUSE, LES PARTIES CHERCHERONT, DE BONNE FOI, À RÉGLER À L’AMIABLE LEURS DIFFÉRENDS RELATIFS À LA VALIDITÉ, L’INTERPRÉTATION, L’EXÉCUTION, L’INEXÉCUTION, L’INTERRUPTION, LA RÉSILIATION OU LA DÉNONCIATION DU PRÉSENT ACCORD AINSI QU’À LA CESSATION PARTIELLE OU TOTALE DES RELATIONS COMMERCIALES ENTRE LES PARTIES ET CE, POUR QUELQUES CAUSES ET SUR QUELQUES FONDEMENTS QUE CE SOIENT. LES PARTIES DEVRONT SE RÉUNIR AFIN DE CONFRONTER LEURS POINTS DE VUE ET EFFECTUER TOUTES CONSTATATIONS UTILES POUR LEUR PERMETTRE DE TROUVER UNE SOLUTION AU CONFLIT QUI LES OPPOSE.

16.3. LES PARTIES S’EFFORCERONT DE TROUVER UN ACCORD AMIABLE DANS UN DÉLAI DE TRENTE (30) JOURS À COMPTER DE LA NOTIFICATION PAR L’UNE D’ELLE DE LA NÉCESSITÉ D’UN ACCORD AMIABLE, PAR LETTRE RECOMMANDÉE AVEC AVIS DE RÉCEPTION.

*

* *

ANNEXE 1 : Modalités de Traitement de Données personnelles

A – Descritpion du traitement de donnees personnelles

EBRIGADE est autorisé à traiter pour le compte du Client les données à caractère personnel dans le cadre de son activité d’hébergeur et d’éditeur de solution SaaS. 

Les informations relatives au Traitement, objet du présent Accord, sont détaillées ci-dessous : 

Détails du Traitement 
Nature des opérations envisagéesStockage des données personnelles
Finalités du Traitement Mise à disposition de la Solution EBRIGADE aux Clients
Catégories de données à caractère personnel traitéesTout type de données à caractère personnel traité par le Client dans le cadre de son activité.
Catégories de personnes concernéesCollaborateur du ClientCollaborateurs des clients du ClientCollaborataire des prestataires du ClientUtilisateur des services proposés par le Client
Durée de conservation des données ou critère justifiant la conservation des donnéesLes données sont en général conservées le temps de l’exécution des prestations.
Point de contact Par courriel : contact@ebrigade.app

B – Liste des sous-traitants ultérieurs

Dans le cadre du Traitement, EBRIGADE est susceptible de faire appel aux prestataires listés ci-après.

Identité du sous-traitants ultérieursCatégoriesLocalisation des données Lien vers le Data Protection Agreement du sous-traitant et les garanties appropriées en cas de transfert hors UE
OVHHébergeurAllemagnehttps://us.ovhcloud.com/legal/data-processing-agreement
IONOShébergeurEuropehttps://www.ionos.fr/
AWSHébergeurFrancehttps://aws.amazon.com/fr/agreement/
SendinblueMailingFrancehttps://fr.sendinblue.com/legal/termsofuse/
TrelloModuleEtats-Unishttps://help.trello.com/article/1118-trello-and-gdpr-our-commitment-to-data-privacy
Google DriveModuleAux Etats-Unis, en Europe (Finlande, Belgique, Dublin), et en Asie (Hong Kong, Singapour, Taiwan)https://support.google.com/drive/answer/2450387?hl=fr
PipedriveGRCEtats-Unishttps://www.pipedrive.com/en/terms-of-service
StripePaiementEtats-Unishttps://stripe.com/dpa/legal

 

 

C – Mesures de sécurité 


Dans le cadre du Traitement, EBRIGADE a mis en place les mesures de sécurité suivantes :



Mesures de sécurité techniques 
-Chiffrement des mots de passes et des dossiers d’accès aux sauvegardes
-Restriction des accès et politique de gestion des accès et habilitations
-Archivage des logs du serveur 
-Filtrage des adresses IP suspectes
-Audit de sécurité mis en oeuvre à intervalles réguliers
-Sauvegardes quotidiennes glissantes sur des serveurs séparés de la production 
-Sauvegardes complémentaires longue durée sur AWS S3
-Utilisation d’un cloud sécurisé (certification et agréments détenus par les hébergeurs)
Mesures de sécurité organisationnelles-Politique de gestion des mots de passe
-Plan d’assurance sauvegarde
-Tests de sécurité
-Audit et historisation des actions des utilisateurs
-Adoption d’une charte IT
-Formation des employés aux traitement de données personnelles
-Signature d’Accord sur la Protection des Données avec les sous-traitants ultérieurs