Conditions Générales de Vente
PREAMBULE
BlueSecure est une plateforme appartenant à la société BlueDigital, permettant la réalisation de campagnes de tests de phishing et de sensibilisation, afin de déterminer le niveau d’alerte, de conscience, de réactions et de défense d’employés, consultants et/ou dirigeants devant les menaces externes de phishing et plus généralement les risques cyber.
Le Client souhaite utiliser les services de BlueDigital pour tester et sensibiliser ses employés, consultants et/ou dirigeants. A ce titre, le Client a pris connaissance et a parfaitement conscience des caractéristiques des outils et services de BlueDigital, connait les principes, limites et sanctions de la loi et anticipe les conséquences tant internes, qu’externes, notamment en termes de ressources humaines ou de relations avec les tiers, du fait de l’utilisation des Services.
BlueDigital : Société par actions simplifiée, au capital de 3.000 €, inscrite au Registre du Commerce et des Sociétés de Paris sous le n° 833 999 352, dont le siège social est sis 90, Rue du Faubourg Saint Martin, 75010 Paris, représentée par son Président.
Client : Société cliente ou prospect de BlueDigital souscrivant au service.
Compte : Compte personnel et spécifique au Client donnant accès à celui-ci à son Espace Personnel.
Contrat : Les présentes conditions générales de vente, ses annexes et le devis.
Espace Personnel : Espace personnel et spécifique au Client, permettant d’utiliser les Services dans un format et conformément aux moyens que BlueDigital estime les plus appropriés.
Phishing : Aussi appelé hameçonnage, le phishing est une technique d’ingénierie sociale, dans laquelle des individus malintentionnés utilisent plusieurs canaux de communication (téléphone, email, clés USB, SMS, réseaux sociaux…) dans le but de tromper les personnes ciblées.
Le but étant de leur faire effectuer une ou plusieurs actions, de manière à obtenir des renseignements personnels ou financiers (identifiants, mots de passes, coordonnées bancaires…) ou pour compromettre une organisation (Par l’installation d’un logiciel malveillant par exemple). Dans les présentes CGV, il s’agit de phishing simulé et inoffensif, visant à sensibiliser le public à la sécurité et à les informer sur la manière d’éviter les escroqueries par hameçonnage et plus généralement les risques cyber.
Services : Services fournis par BlueDigital et décrits à l’Article 6. Aussi appelé BlueSecure.
Site : Sites accessibles à https://www.bluesecure.fr/ et https://www.bluesecure.io/
1. OBJET
L’objet du Contrat est de définir les conditions d’utilisation des Services, ainsi que de définir les droits et obligations des Parties dans ce cadre, et notamment des utilisateurs des Services. Ces Services peuvent être utilisés par le biais du Site.
2. HIERARCHIE DES DOCUMENTS
Le contrat comprend, dans l’ordre hiérarchique suivant :
- Les présentes ;
- Les différentes Annexes.
En cas d’ambiguïté, le document de rang supérieur prévaudra.
3. CONTRACTUALISATION
A la demande de toute personne, BlueDigital pourra établir un devis qui précisera la nature des Services, le montant et la durée de la relation contractuelle. BlueDigital se réserve la possibilité de ne pas répondre à une demande de devis. A compter de la manifestation écrite du consentement du Client, le Contrat entrera en vigueur.
4. COMPTE
BlueDigital créera un Compte pour le Client donnant accès à celui-ci à son Espace Personnel qui lui permettra d’utiliser les Services.
Le Client garantit que toutes les informations fournies sont exactes et à jour. Le Client s’engage à mettre à jour ces informations dans son Espace Personnel dès qu’elles sont modifiées afin que ces informations soient toujours conformes à ces critères.
Le Client est informé et accepte que les informations fournies dans le cadre de l’ouverture de son Compte soient présumées comme établissant son identité.
Le Client peut accéder à son Espace Personnel en se connectant au Site et en utilisant son identifiant et mot de passe. Le Client accepte de n’utiliser les Services qu’à titre personnel et s’interdit de laisser tout tiers l’utiliser sauf à en accepter toutes les conséquences. Toute utilisation des Services avec l’identifiant et le mot de passe d’un Client sera irréfragablement réputée comme fait par ledit Client.
De même, le Client doit conserver secrets son identifiant et mot de passe. Le Client doit contacter BlueDigital immédiatement dès qu’il sait que son Compte a été utilisé sans son accord. Le Client reconnait que BlueDigital peut prendre toute mesure appropriée, y inclus la suspension du Compte / Espace Personnel.
5. CADRE LEGAL DES SERVICES
Les Services sont rendus uniquement à des fins professionnelles, à l’exclusion de tout consommateur.
Lorsque l’acte de Phishing vise une infrastructure d’un tiers, le Client reconnait que le Phishing est une activité pénalement réprimandée notamment par les articles L.323-1 et suivants du Code pénal. En conséquence, le Client déclare, à titre de condition essentielle pour BlueDigital, que les systèmes, personnes, appareils et réseaux qui seront utilisés pour les besoins des Services et l’envoi de tests de Phishing sont tous et sans exception sous son contrôle.
Par principe, BlueSecure n’est qu’un outil utilisé par le Client et BlueDigital n’a aucun rôle décisionnaire dans le lancement des campagnes de Phishing. Toutefois, si une qualification devait être retenue, il est entendu que le Client mandate expressément BlueDigital pour participer à la réalisation de campagnes de tests de Phishing sur ses propres systèmes, appareils et réseaux et auprès de ses propres employés, consultants et/ou dirigeants. En conséquence, tous les actes, actions, omissions et autres écrits de BlueDigital pour les besoins de mise en œuvre des Services seront réputés être fait au nom et pour le compte du Client, dans le cadre d’un mandat.
De plus, le Client garantit BlueDigital, à titre de condition essentielle pour BlueDigital, qu’il dispose des droits sur tous les contenus, marques, marques déposées, slogans et autres images, vidéos, textes et écrits utilisés pour les besoins des campagnes de tests de Phishing.
6. DESCRIPTION DES SERVICES
BlueDigital propose les Services suivants, dans les conditions que BlueDigital estime le plus appropriées. Le devis précise les Services souscrits par le Client.
6.1 Mise en œuvre de campagnes de test de Phishing
BlueSecure est une solution de sensibilisation aux menaces d’ingénierie sociale et plus particulièrement au Phishing.
Elle est composée :
- D’un outil en ligne, permettant de créer, programmer et envoyer des campagnes de simulation d’hameçonnage par e-mail, clés USB, QR code ou SMS.
Selon le scénario choisi, ces e-mails peuvent contenir une fausse pièce jointe et/ou rediriger vers une page web dédiée à la campagne qui peut prendre la forme d’une page de connexion.
Pour lancer sa campagne, l’utilisateur peut importer une liste de contacts dans l’outil contenant à minima les adresses e-mails des personnes et optionnellement le nom, prénom, description.
Une fois la campagne lancée, l’outil recueille en temps réel les statistiques suivantes : Message envoyé, message reçu, ouvert, clic sur un lien du message et saisie d’informations dans les champs de la page de destination. Et restitue ces informations à l’utilisateur de la solution sur son tableau de bord, qui offre également la possibilité d’exporter les statistiques sous différents formats.
Seuls les e-mails confiés par le client seront exploités par BlueDigital.
BlueDigital n’étant pas en charge de l’administration des services e-mail, anti-spam ou encore anti-phishing utilisés par le client, ne pourra en aucun cas garantir la délivrabilité des e-mails et la bonne remontée des statistiques. Néanmoins BlueDigital s’engage à porter assistance au client en lui partageant les paramètres usuels à effectuer auprès de son fournisseur de services e-mail.
L’utilisateur peut choisir d’anonymiser les statistiques avant le lancement de la campagne.
- D’une plateforme de formation en ligne, qui permet de lancer une campagne de sensibilisation en e-learning.
Pour lancer sa campagne de formation, l’utilisateur superviseur doit importer une liste de contacts dans l’outil contenant à minima les adresses e-mails des apprenants, le nom et le prénom.
Ces informations sont requises pour délivrer les attestations de formation nominatives.
Les apprenants recevront une invitation par e-mail leur permettant d’initialiser leur accès et suivre une formation en ligne.
L’utilisateur supervisant la formation pourra suivre en ligne l’avancement individuel de chaque apprenant, envoyer des relances par e-mail et télécharger les attestations nominatives de formation.
Les fonctions du module « Campagnes de test de Phishing » sont décrites sur le Site.
6.2 Personnalisation
Sans préjudice du mandat visé à l’article 5, BlueDigital peut personnaliser et/ou opérer les campagnes de tests au nom et pour le compte du Client, selon ses instructions écrites.
6.3 Support
BlueDigital prend soin du Site et des Services activement et en permanence afin de détecter et de résoudre tous problèmes.
6.4 Consulting
Sur demande écrite du Client et après acceptation de BlueDigital, BlueDigital pourra fournir les services de consulting arrêtés. Ces services seront définis par les Parties et confirmés par BlueDigital. Ces services seront facturés conformément (i) aux principes visés aux présentes qui s’y appliqueront automatiquement et (ii) aux prix définis par les Parties.
6.5 Référence
Chaque Partie pourra faire figurer uniquement en post-usage, sur tout support, le partenariat entre BlueDigital et le Client, notamment en affichant le logo et le texte fourni par l’autre Partie.
7. DONNEES PERSONNELLES
BlueDigital reconnait l’importance du respect à la vie privée et des réglementations relatives à la protection des données personnelles (loi du 6 janvier 1978 « Informatique et Libertés » et règlement 2016/679 relatif à la protection des personnes physiques et à l’égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données).
L’Annexe « DPA » précise la nature et portée des droits et obligations de chaque Partie.
8. DUREE
Le Contrat entre en vigueur à la date de signature pour la durée ferme de la campagne visée au devis.
En cas de durée ferme d’un an, les présentes sont renouvelées tacitement par périodes successives de 12 mois, sauf dénonciation par le client par lettre recommandée avec accusé de réception au moins 1 mois avant la date anniversaire.
Après la date anniversaire, si un client ne s’est pas manifesté dans les 30 jours, BlueDigital se réserve le droit de mettre fin au contrat.
9. CONDITIONS FINANCIERES
9.1 Prix
Les prix sont visés dans le devis. Ils sont exprimés hors taxes et impôts. Le Client garantit BlueDigital être seul débiteur des obligations aux présentes et notamment le paiement des factures.
9.2 Délais de paiement
Le prix est facturé conformément au devis.
9.3 Incidents et retards de paiement
Le Client est informé et accepte expressément que tout retard de paiement en tout ou partie, dans le cadre des présentes, entrainera automatiquement, sans préjudice des autres droits de BlueDigital et moyennant une notification écrite préalable de 8 jours restée sans effet :
- la suspension immédiate des Services jusqu’à complet paiement des sommes dues par le Client,
- la facturation d’un intérêt de retard par BlueDigital, au taux de 3 fois le taux d’intérêt légal appliqué sur toutes les sommes en retard concernées,
- la facturation d’un montant forfaitaire de 40€ pour recouvrement de créances.
10. OBLIGATIONS DU CLIENT
Sans préjudice des autres obligations au titre des présentes :
10.1 Le Client s’engage, dans le cadre de l’utilisation des Services, à respecter toutes les lois et réglementations applicables, les droits de propriété intellectuelle des tiers, les systèmes, appareils et réseaux des tiers, et de ne pas violer l’ordre public ou les droits de tiers.
10.2 Le Client est seul responsable du respect des formalités nécessaires administratives, fiscales et/ou sociales en relation avec son utilisation des Services. Le Client est seul responsable de la conformité de l’utilisation des Services à la loi, la réglementation applicable, les droits des personnes concernées (et notamment le cas échéant, des salariés, des tiers, etc…) et reconnait que les Services ne sont que des outils qu’il utilise de son propre chef. BlueDigital ne saurait en aucun cas être responsable à ces titres.
10.3 Le Client reconnait avoir compris les caractéristiques et limites des Services. Le Client est seul responsable de leur utilisation.
10.4 Le Client s’engage à utiliser les Services à titre personnel. Il ne peut pas transférer, sous-licencier, déléguer ou céder tout ou partie de leurs droits visés aux présentes à un tiers.
10.5 Le Client fournira des informations et données justes, correctes et adéquates et les mettra à jour.
10.6 Le Client n’est pas autorisé (et s’interdit d’encourager des tiers) à utiliser les Services pour :
- tout acte, déclaration ou omission ayant pour cause ou conséquence la violation de la loi et/ou réglementation applicable et/ou des présentes ;
- envoyer ou transmettre de toute manière tout contenu que le Client ne peut pas transmettre en vertu d’une loi ou d’un contrat ;
- entraver ou perturber les Services, les serveurs ou les réseaux connectés aux Services, ou limiter les exigences, procédures ou règlements des réseaux connectés aux Services ;
- utiliser les résultats des campagnes pour d’autres raisons et d’autres finalités que la sensibilisation / la formation au Phishing et à la sécurité informatique. Notamment le Client ne peut pas utiliser les Services à des fins de sanctions de salariés ;
- contourner les limites d’utilisation ou d’accès d’utilisation des Services ;
- vendre ou concéder tout ou partie de l’accès aux Services ou aux informations hébergées et / ou partagées sur le Site ; et/ou
- concevoir, réaliser et/ou faire réaliser un système, application, logiciel ou ensemble concurrençant les Services.
11. PROPRIETE INTELLECTUELLE
Les Services ainsi que tous les outils en relation avec les Services sont la propriété de BlueDigital.
Le Client a uniquement une licence personnelle, non cessible et non exclusive d’utiliser les Services uniquement pour accéder à la plateforme de BlueDigital dans les limites et conditions des présentes, pour la seule durée des présentes. Tous autres droits sur le logiciel, et les Services sont réservés. BlueDigital se réserve expressément la correction du logiciel le cas échéant.
BlueDigital respecte la propriété intellectuelle des tiers. Si un Client ou un tiers pense qu’un droit de propriété intellectuelle d’un élément a été enfreint, merci de nous contacter à contact [at] bluesecure.fr
12. GARANTIES/RESPONSABILITÉ
12.1 Le Client prendra à sa charge, au fil de l’eau, l’ensemble des sommes, frais, honoraires d’avocat et dépens qui pourraient être encourus ou auxquels pourrait être condamnée BlueDigital au titre de toute action, procédure ou demande d’un tiers, en relation avec (i) une violation des présentes, (ii) l’utilisation des Services par le Client et/ou (iii) une fausse déclaration ou déclaration incomplète. Notamment, le Client garantit BlueDigital dans les mêmes termes en cas toute action, procédure ou demande d’un employé, propriétaire de marque utilisée, d’un tiers contrôlant un appareil, réseau et/ou système qui n’est pas sous le contrôle du Client. Cette garantie est conditionnée par le fait que (a) BlueDigital ait alerté sans délai le Client d’une telle demande ou action, (b) que BlueDigital coopère pleinement et apporte toutes les informations au Client et (c) que le Client et BlueDigital participent à l’argumentation.
12.2 BlueDigital fournit les Services avec soin et conformément aux pratiques de marché dans le cadre d’une obligation de moyens, ce que le Client reconnaît et accepte. BlueDigital ne garantit aucun résultat de campagne, aucun seuil, objectif ou recrutements. Les Services sont fournis « tel quel », toute autre garantie légale ou contractuelle étant expressément exclue.
12.3 BlueDigital ne fournit que les Services visés à l’article 6. BlueDigital rappelle qu’elle n’a aucun contrôle ou propriété sur le contenu hébergé et indexé dans le cadre des Services. Ainsi, BlueDigital ne saurait être responsable de tout contenu réalisé ou fourni par le Client. BlueDigital propose un outil qui est utilisé par le Client sous son seul contrôle et à ses propres risques.
12.4 BlueDigital ne garantit pas au Client (i) que les Services, qui sont sujets à recherche permanente d’amélioration des performances dans le cadre d’une démarche qualité, sont sans erreurs, fautes ou bugs, (ii) que les Services standards ou spécifiques au Client ou à certains de ses clients en fonction de leurs contraintes personnelles, sont conformes à leurs besoins ou attentes.
12.5 BlueDigital garantit le Client qu’il pourra jouir paisiblement des Services pendant la durée des présentes sous réserve du respect, par celui-ci, des présentes et de la loi. A ce titre, BlueDigital prendra à sa charge l’ensemble des sommes, frais et dépens auxquels le Client aura été définitivement condamnés au titre de toute action, procédure ou demande basée sur une violation d’un droit de propriété industrielle européen ou un acte de concurrence déloyale, en relation avec (i) une violation des présentes ou de la Politique de protection des données personnelles ou (ii) la propriété et/ou l’utilisation des Services par le Client. Cette garantie est conditionnée par le fait que (a) le Client ait alerté sans délai BlueDigital d’une telle demande ou action, (b) que le Client coopère pleinement et apporte toutes les informations à BlueDigital et (c) que BlueDigital et le Client participent à l’argumentation.
12.6 Toute demande de réduction du prix de la part du Client en cas d’exécution imparfaite doit faire l’objet d’une discussion préalable entre les parties, étant entendu que l’accord final doit être écrit. En cas de non-accord dans les 15 jours, les Parties désigneront dans un délai de 15 jours un expert extrajudiciaire chargé de déterminer le prix. L’expert disposera de 15 jours pour rédiger son rapport. Les frais sont à la charge des parties à 50/50. Le prix proposé par l’expert sera applicable (et non contestable par les Parties).
12.7 La responsabilité encourue par BlueDigital dans le cadre des présentes est expressément et uniquement limitée aux dommages directs et effectifs subis par le Client (les dommages indirects tel que préjudice commercial ou financier, perte de clientèle, perte d’image de marque, perte de bénéfice, perte de commande, trouble commercial quelconque, ainsi que de toute action émanant de tiers et dont il ne sera pas démontré qu’elles sont imputables à BlueDigital étant donc exclus) et ne saurait, toutes fautes et dommages confondus, excéder le montant total payé par le Client concerné dans l’année précédant le fait générateur. Ce plafond a été librement négocié entre les Parties et reflète l’équilibre entre leurs obligations respectives ainsi que la juste limitation de responsabilité et ce, compte tenu du contexte général Toute procédure contre BlueDigital doit être initiée dans les 12 mois suivants le fait générateur.
13. RESILIATION
En cas de violation par une Partie de tout ou partie des présentes ou plus généralement de la violation d’une loi ou règlement, l’autre Partie se réserve la faculté, sans préjudice de ses autres droits, de plein droit et sans formalité supplémentaire, de prendre, moyennant une mise en demeure écrite et préalable (ou immédiatement en cas de faute estimée grave par la Partie non défaillante) restée sans effet plus de 15 jours, toute mesure qu’elle estimera appropriée et notamment la résiliation des présentes.
14. EXPORT
Le Client ne doit, sous aucun prétexte, révéler, transférer, exporter ou réexporter, directement ou indirectement, tout logiciel fourni dans le cadre des présentes, vers une destination et/ou utilisateur interdit par le Règlement 428/2009 (tel que modifié) et les lois nationales applicables et toute autre loi / réglementation d’export, sans le consentement préalable et écrit de la Commission européenne, les douanes ou toute autre autorité compétente..
15. CONFIDENTIALITE
TANT PENDANT LA DUREE DU CONTRAT QUE DURANT LES 12 MOIS QUI SUIVRONT SA CESSATION, CHAQUE PARTIE S’ENGAGE A CONSIDERER COMME STRICTEMENT CONFIDENTIELS ET A TRAITER COMME TELS LE CONTRAT ET TOUTES LES INFORMATIONS, QUELLES QUE SOIENT LEUR NATURE ET LEUR SUPPORT, RECUEILLIES PENDANT L’EXECUTION DU CONTRAT (CI-APRES LES « INFORMATIONS CONFIDENTIELLES »). Toutes les Informations Confidentielles sont considérées comme des secrets des affaires au sens du Code de Commerce. Ne sont pas considérées comme des informations confidentielles au titre du Contrat les informations (i) entrées dans le domaine public préalablement à leur divulgation ou postérieurement à celle-ci, sans qu’une obligation du Contrat n’ait été violée, (ii) reçues de tiers de manière licite, sans restriction ni violation du Contrat, (iii) publiées, sans qu’une telle publication constitue une violation du Contrat, (iv) déjà connues par l’une des Parties, cette connaissance pouvant être démontrée par l’existence de documents appropriés, (v) résultant de développements internes entrepris de bonne foi par le personnel de l’une ou l’autre des Parties n’ayant pas eu accès auxdites informations, (vi) divulguées, en application d’une disposition légale, par toute juridiction compétente ou par une autorité gouvernementale. Les parties s’engagent à ne pas divulguer ou laisser divulguer, directement ou par personne interposée, en totalité ou en partie, les Informations Confidentielles dont elles auraient eu ainsi connaissance, à quelque tiers que ce soit, à l’exception des employés et/ou sous-traitants ayant besoin des informations pour l’exécution de leurs obligations. Sans préjudice des autres stipulations du Contrat, les Parties s’engagent, à cet égard, à prendre toutes les mesures nécessaires auprès de leurs salariés et/ou sous-traitants afin que ceux-ci soient soumis à cette même obligation de confidentialité. Les Parties s’engagent à ne pas utiliser les Informations Confidentielles dans un cadre autre que celui du Contrat, même pour leur propre compte et s’engagent à restituer, à première demande de la Partie divulgatrice, tous documents ou autres supports contenant des Informations Confidentielles que celle-ci aurait été amenée à remettre à l’autre Partie dans le cadre de l’exécution du Contrat ainsi que toutes leurs reproductions.
16. RSE // Lutte contre la corruption (SAPIN 2)
BlueDigital est engagée dans une démarche RSE et respecte le corpus législatif et réglementaire relatif à la responsabilité sociétale et environnementale à savoir :
- l’article 225 de la loi française 2010-788 du 12 juillet 2010 portant engagement national pour l’environnement (dite « Grenelle II ») imposant la publication d’informations sociales et environnementales dans le rapport de gestion ;
- la directive 2014/95/UE du Parlement européen et du Conseil du 22 octobre 2014 relative à la publication d’informations extra-financières par les entreprises, dite « directive RSE » ;
- la loi française n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ;
- la loi française 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et entreprises donneuses d’ordre.
Chaque Partie déclare :
- qu’elle a connaissance de toute législation applicable au Contrat en matière de lutte contre la corruption, et qu’elle a mis en œuvre des règles permettant de se conformer auxdites législations et de s’adapter à leurs évolutions futures ;
- que ni une Partie, ni aucune des personnes qu’elle contrôle n’a commis ni ne commettra, directement ou indirectement, aucun acte de corruption ;
- qu’elle a mis en place des règles appropriées visant à prévenir la commission d’actes de corruption, par elle-même, ses agents ou autres intermédiaires et les personnes contrôlées, et à s’assurer que toute preuve ou tout soupçon de la commission d’un acte de corruption fera l’objet d’une enquête approfondie, sera traité avec la diligence appropriée et signalé à la direction de chaque Partie ;
- que ni une Partie ni aucun de ses agents, intermédiaires ou personnes contrôlées n’est frappé d’une interdiction (ou n’est traité comme tel), par un organisme gouvernemental ou international, de répondre aux appels d’offres, de contacter ou de travailler avec cet organisme en raison d’actes de corruption avérés ou présumés ;
- que les archives relatives à ses activités, y compris les documents comptables, sont tenues et conservées de manière à garantir leur intégrité sous une forme exploitable par la Partie concernée.
17. DIVERS
17.1 Le Contrat, ses annexes, ainsi que tout avenant, expriment l’intégralité des accords entre les Parties. Toute modification ultérieure présentes interviendra par voie d’avenant écrit portant la signature de chacune d’elles, sauf mention contraire aux présentes.
17.2 Le Contrat prévaut sur toute stipulation qui figurerait sur tout autre document, contrat ou accord antérieur, écrit ou oral, quelle qu’en soit l’origine, quelle qu’en soit la forme, échangé ou conclu entre les Parties et relatifs au même objet.
17.3 En cas de contradiction entre les avenants et/ou le Contrat, les termes des avenants plus récents prévaudront sur ceux du Contrat et/ou des avenants plus anciens.
17.4 Sauf stipulation contraire du Contrat, chacune des Parties paie tous frais relatifs à la négociation, la préparation, la signature et l’application dans son chef du Contrat et tout document y afférent.
17.5 Les Parties ont pu négocier de bonne foi l’ensemble des dispositions du Contrat, ont pu prendre conseil auprès de leur conseil habituel et ont pu valider l’équilibre entre leurs obligations, droits, garanties, limitations et responsabilités.
17.6 Les Parties conviennent expressément de signer le présent protocole transactionnel par le biais d’un service d’acceptation en ligne et déclarent en conséquence que la version électronique du document constitue l’original dudit document et est parfaitement valable entre elles. Les Parties déclarent que le document sous sa forme électronique constitue une preuve littérale au sens de l’article 1367 du Code civil et a la même valeur probante qu’un écrit sur support papier conformément à l’article 1366 du Code civil et pourra valablement leur être opposé. Les Parties s’engagent en conséquence à ne pas contester la recevabilité, l’opposabilité ou la force probante du document signé sous sa forme électronique. En conséquence, la version électronique du Contrat vaut preuve de son contenu, de l’identité des Parties et du consentement des Parties aux obligations et conséquences de faits et de droit qui en découlent.
18. DROIT APPLICABLE / JURIDICTION COMPETENTE
Les présentes sont soumises au droit français.
EN CAS DE DIFFICULTE OU DE DIFFEREND ENTRE LES PARTIES RESULTANT DE L’INTERPRETATION OU DE L’EXECUTION DU PRESENT CONTRAT, LES PARTIES S’ENGAGENT A RECHERCHER UNE SOLUTION AMIABLE DANS UN DELAI RAISONNABLE. A CE TITRE, TOUT DIFFEREND SERA SOUMIS PREALABLEMENT A LA MEDIATION CONFORMEMENT AU REGLEMENT DE MEDIATION DU CMAP AUQUEL LES PARTIES DECLARENT ADHERER.
A DEFAUT DE SOLUTION AMIABLE, TOUTE CONTESTATION (EN CE COMPRIS LES PROCEDURES D’URGENCE, LES PROCEDURES CONSERVATOIRES) PORTANT SUR L’EXECUTION, L’INEXECUTION OU L’INTERPRETATION DU CONTRAT SERA SOUMISE AUX TRIBUNAUX COMPETENTS DU RESSORT DE LA COUR D’APPEL DE PARIS, Y COMPRIS EN CAS D’APPEL EN GARANTIE ET/OU DE PLURALITE DE DEFENDEURS.
ANNEXE
DATA PROCESSING AGREEMENT / GDPR
Compte tenu du fonctionnement des outils et services de BlueDigital et conformément aux Guidelines de l’EDPB du 2 septembre 2020, les Parties ont déterminé les positionnements des Parties de la manière suivante.
Traitement n°1 | Traitement n°2 | Traitement n°3 | Traitement n°4 | |
Finalité(s) du Traitement | Campagnes de simulation de phishing
Exécution du contrat (service souscrit par le Client) |
Campagnes de sensibilisation en ligne Etablissement d’une attestation de formation nominative |
Suivi de la relation BlueDigital / client | Prospection |
Responsable de Traitement | Client | BlueDigital | BlueDigital | BlueDigital |
Sous-traitant | BlueDigital | – | – | – |
Types de Données personnelles traitées | Données des contacts cibles des simulations d’hameçonnage contenant obligatoirement l’adresse e-mail et optionnellement le Nom et le Prénom.
Le numéro de téléphone uniquement si une campagne SMS a été commandée. |
Données des apprenants des formations en ligne contenant obligatoirement l’adresse e-mail, le Nom et le Prénom | Identification des intervenants chez le Client (par ex, nom ; prénom ; email, etc…) ; données de facturation, données contractuelles, etc… | Identification des intervenants pertinents chez le Client (par ex, nom ; prénom ; email, etc…) |
Catégories de Personnes concernées | Les employés, consultants et dirigeants du Client | Les employés, consultants et dirigeants du Client | Les employés et consultants du Client | Les employés du Client |
Durée du Traitement | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client + 5 ans | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client + 3 ans
|
Lieu du Traitement | Union européenne | |||
Sous-traitant du Prestataire intervenant spécifiquement dans le traitement | OVH Cloud Outscale – Dassault Systèmes si l’option SecNumCloud a été commandée |
I. DEFINITIONS
Sauf précision expresse contraire dans le présent DPA, les termes « Autorité de contrôle », « Données personnelles », « Personnes concernées », « Responsable du traitement », « Sous-traitant », « Traitement » et « Violation de données à caractère personnel » auront, dans le présent DPA, les définitions prévues par le règlement (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « GDPR »).
Le terme « Lois et réglementations applicables en matière de protection des données à caractère personnel » désigne toutes lois, règlements et autres normes nationales et européennes, applicables aux traitements de données à caractère personnel mis en œuvre au titre du ou des Contrat(s) , en ce compris notamment le GDPR et la loi française adoptée en complément ou en application des dispositions du GDPR, ainsi, le cas échéant, que les règlements européens applicables au traitement de données de communications électroniques, à l’utilisation de technologies de traçage telles que les cookies et à la prospection directe (règles « e-Privacy »). Les Lois et réglementations applicables en matière de protection des données à caractère personnel sont interprétées par la CNIL et l’EDPB.
II. Obligations de BlueDigital
Les obligations de BlueDigital comprennent uniquement ce qui suit. BlueDigital garantit ainsi le Client contre toute revendication ou action de tiers au titre de ses obligations et s’engage à prendre à sa charge, au fil de l’eau, toutes les dépenses, condamnations, frais, honoraires d’avocat que le Client pourrait supporter du fait de ces procédures.
2.1. Traitement sur instruction du Client
BlueDigital s’engage à ne traiter les Données personnelles confiées que sur instruction documentée du Client ou conformément aux présentes, à moins que BlueDigital ne soit tenu de traiter les Données personnelles confiées en vertu du droit de l’Union Européenne ou du droit d’un Etat membre de l’Union Européenne auquel BlueDigital serait soumis. Dans un tel cas, BlueDigital s’engage à informer le Client de cette obligation de traiter les Données personnelles confiées avant de procéder à ce Traitement, sauf si le droit concerné interdit une telle information.
BlueDigital s’engage à conserver une trace écrite des instructions spécifiques du Client. Ce document comprend l’ensemble des indications obligatoires visées à l’article 30 du Règlement 2016/679. Par exception à ce qui précède, les opérations et traitements induits par l’exécution des présentes et/ou visées au tableau des traitements ci-avant ont considérés comme constituant des instructions du Client.
Bien que BlueDigital ne soit pas un cabinet d’avocats ou spécialisé en droit, dans l’hypothèse où BlueDigital estimerait qu’une instruction documentée du Client concernant les Traitements confiés pourrait être considérée comme illicite au regard des Lois et réglementations applicables en matière de protection des données à caractère personnel, ou risquerait d’entraîner un manquement ou une violation de ces dernières, BlueDigital s’engage à en informer le Client, étant précisé que ce dernier demeure seul juge entre les Parties de la validité des instructions données concernant les Traitements confiés.
2.2. Accountability
BlueDigital déclare avoir mis en place les procédures internes permettant la démonstration du respect des Lois et réglementations applicables en matière de protection des données à caractère personnel en tant que Sous-traitant.
A ce titre et de manière raisonnable, BlueDigital accepte que le Client puisse, moyennant un préavis écrit de 15 jours, procéder à un audit du respect par BlueDigital des dispositions de la présente Annexe et, à ce titre, envoyer des questions précises et demandes de documentation à BlueDigital. Ces questions seront limitées au respect des Lois et réglementations applicables en matière de protection des données à caractère personnel dans le cadre de l’exécution des présentes. BlueDigital devra répondre dans un délai raisonnable qui ne saurait être supérieur à un (1) mois. Par exception à ce qui précède, BlueDigital sera tenu de répondre dans les délais imposés par les autorités en cas de contrôle ou demande de la CNIL (ou Autorité de contrôle assimilée).
2.3. Assistance du Client
BlueDigital s’engage à assister le Client quant au le respect des obligations prévues aux articles 32 à 36 Règlement 2016/679, compte tenu de la nature du Traitement concerné et des informations à la disposition de BlueDigital, en ce compris toute question relative à l’exercice d’un droit ou d’une obligation visée par le Règlement 2016/679, et notamment :
- la mise en œuvre des droits des personnes concernées (par exemple, droit à la portabilité, droit d’accès et de rectification) ;
- la participation à une étude d’impact sur la vie privée (« PIA »).
A ce titre, le client formulera une demande écrite précise et circonstanciée permettant à BlueDigital d’appréhender la portée des questions et de définir l’ampleur de la tâche qui lui incombe. BlueDigital répondra à cette demande dans les meilleurs délais possibles compte tenu de la nature et la technicité des questions. Les Parties reconnaissent que si cette assistance devait dépasser plus d’une heure par semaine, alors BlueDigital serait légitime à facturer le Client pour les dépassements de temps sur la base du taux horaire applicable au jour de la demande du Client.
Quoique BlueDigital soit soumis à une obligation de moyens en matière de sécurité informatique, BlueDigital s’engage, en cas de violation de sécurité (i) à alerter dès que possible le Client et lui fournissant les informations nécessaires mais raisonnables (et dans la limite des obligations de confidentialité de BlueDigital), (ii) assister le Client et, le cas échéant, la CNIL ou toute autorité publique dans ce cadre et (iii) participer, de manière raisonnable, à la mise en place de correctifs. BlueDigital s’engage à coopérer avec le Client en cas de procédure de contrôle ou demande de documentation de la CNIL (ou Autorité de contrôle assimilée).
2.4. Sous-traitance
De manière générale, BlueDigital peut recourir à toute sous-traitance pour les aspects de la relation contractuelle n’impliquant pas de Données personnelles. En revanche, en cas de recours à un Sous-traitant pour un Traitement de Données personnelles relatif à l’exécution des présentes, BlueDigital avertira le Client en lui précisant la nature du Traitement concerné et l’identité du Sous-traitant. Le Client ne pourra pas refuser son accord que pour juste motif. Tout silence du Client de plus de 15 jours vaudra acceptation tacite.
En toute hypothèse, BlueDigital s’engage à ne recruter que des Sous-traitants permettant d’assurer la conformité continue des Traitements confiés aux Lois et réglementations applicables en matière de protection des données à caractère personnel. Les Sous-traitants recrutés devront à ce titre présenter des garanties suffisantes au regard des obligations applicables en matière de sécurité des Traitements confiés et de confidentialité des Données personnelles confiées.
Si, par extraordinaire, le Sous-traitant de BlueDigital ne remplit pas ses obligations en matière de protection des données vis-à-vis du Client, BlueDigital demeure responsable, dans les conditions des présentes, devant le Client de l’exécution par l’autre sous-traitant de ses obligations.
Au jour de la signature des présentes, les Sous-traitants identifiés et concernés par les présentes sont les suivants :
Traitement(s) impacté(s) par la sous-traitance | Nom et adresse du sous-traitant | Identité des représentants légaux du sous-traitant | Lieux où les Données personnelles sont traitées | Types de Données personnelles traitées par le sous-traitant | Catégories de personnes concernées par la sous-traitance | Durée du traitement réalisé par le sous-traitant |
Traitement n°1
|
OVH
2 rue Kellermann 59100 Roubaix France |
Pour OVH Cloud : Michel Paulin (Président) Contact du DPO Contact du DPO : |
Union européenne | Données des contacts cibles des simulations d’hameçonnage contenant obligatoirement l’adresse e-mail et optionnellement le Nom et le Prénom et le numéro de téléphone (campagne SMS uniquement). | Les employés, consultants et dirigeants du Client | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client |
Traitement n°2
|
Données des apprenants des formations en ligne contenant obligatoirement l’adresse e-mail, le Nom et le Prénom | Les employés, consultants et dirigeants du Client | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client | |||
Traitement n°3
|
Identification des intervenants chez le Client (par ex, nom ; prénom ; email, etc…) ; données de facturation, données contractuelles, etc… | Les employés et consultants du Client | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client + 5 ans | |||
Traitement n°4
|
Identification des intervenants pertinents chez le Client (par ex, nom ; prénom ; email, etc…) | Les employés du Client | Pendant toute la durée des relations contractuelles entre BlueDigital et le Client + 3 ans |
2.5. Confidentialité des Données personnelles
BlueDigital s’engage à réserver l’accès aux Données personnelles confiées aux seules personnes parmi ses employés et Sous-traitants ayant besoin d’y accéder pour l’exercice de leurs fonctions dans le cadre de l’exécution des présentes.
A ce titre, BlueDigital informe le Client que les contrats de travail avec ses salariés contiennent tous une clause de confidentialité et que les contrats de service avec ses Sous-traitants comprennent également une clause de confidentialité ou ayant les effets similaires et ce, sans préjudice des dispositions légales supplémentaires applicables. De plus, BlueDigital a procédé à une sensibilisation adéquate de ses salariés à l’égard des obligations résultant pour eux des stipulations et des dispositions susmentionnées.
Dans l’hypothèse où BlueDigital se verrait ordonner par toute juridiction, administration, autorité ou représentant de la force publique (ci-après une « Autorité ») de permettre un accès aux Données personnelles confiées, BlueDigital s’engage à prendre les précautions et mesures possibles pour assurer la protection de la confidentialité des Données personnelles confiées. BlueDigital informera dès que possible le Client d’une telle transmission (si et dans la mesure où cette information n’est pas expressément interdite par l’ordre en question ou par la loi ou la réglementation applicable).
2.6. Privacy by design
BlueDigital déclare avoir mis en place les procédures internes permettant la démonstration du respect du principe de prise en compte des principes de protection des Données personnelles dès la conception et de protection des Données personnelles par défaut.
2.7. Sécurité des Données personnelles / Violation de la sécurité des Données personnelles
BlueDigital déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :
- garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des Données personnelles et ce, conformément à l’état de l’art et aux présentes ;
- rétablir, le cas échéant, la disponibilité des Données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.
A ce titre, BlueDigital a pris en compte l’état des techniques connues, les modalités des Traitements confiés tels que décrits ci-avant, et en toute hypothèse des exigences de sécurité prévues ou découlant du droit positif français applicable à BlueDigital.
BlueDigital s’engage à maintenir et mettre à jour ces mesures, et à en implémenter au besoin et si nécessaire de nouvelles, tout au long de l’exécution des présentes, de façon à assurer à tout moment un niveau de sécurité adéquat au regard des critères précités et à ne pas réduire ni déprécier ce niveau de sécurité.
BlueDigital s’engage à informer par écrit le Client de toute Violation de données à caractère personnel affectant ou concernant les Données personnelles confiées. Cette communication a lieu « dans les meilleurs délais après en avoir pris connaissance » conformément à l’article 33.2 du Règlement 2016/679. BlueDigital s’engage également à prendre et/ou à proposer au Client, dans les meilleurs délais, toutes mesures nécessaires et utiles pour (i) identifier l’origine, la nature, l’étendue et les conséquences de la Violation de données à caractère personnel et/ou (ii) limiter ou neutraliser ses conséquences.
L’information communiquée au Client en application du paragraphe précédent devra comprendre les indications suivantes :
- une description de la Violation de données à caractère personnel précisant, si possible, la nature et l’origine de la Violation de données à caractère personnel ; les catégories de Données personnelles confiées affectées ou concernées ; une estimation du nombre de Personnes concernées affectées ;
- les nom et coordonnées de la personne auprès de laquelle le Client peut obtenir de plus amples informations relatives à la Violation de données à caractère personnel ;
- une description des conséquences probables de la Violation de données à caractère personnel ; et
- une description des mesures prises et/ou proposées par BlueDigital pour remédier à la Violation de données à caractère personnel et/ou limiter ou neutraliser ses conséquences.
Lorsque l’ensemble des indications précédentes ne sont pas immédiatement connues ou accessibles, BlueDigital peut informer le Client de la survenance de la Violation de données à caractère personnel puis communiquer les informations complémentaires sans délai au fur et à mesure où elles sont obtenues.
BlueDigital s’engage enfin à fournir ses meilleurs efforts pour assister le Client dans l’exécution de ses obligations de notification des Violations de données à caractère personnel aux Autorités de contrôle ainsi que de communication de ces Violations de données à caractère personnel aux Personnes concernées, le cas échéant.
2.8. Transfert des données hors UE
Au jour de la signature des présentes, BlueDigital ne transfère aucune Donnée personnelle afférente à un Traitement hors de l’UE.
2.9. Conservation des Données personnelles
BlueDigital conservera les Données personnelles fournies par le Client conformément aux délais de conservation déterminés par celui-ci et visés au sein du tableau ci-avant. Le Client reconnait qu’à défaut d’instruction écrite pour un Traitement non visé dans le tableau ci-avant, BlueDigital ne conserve les données conservées que 12 mois à compter de la cessation des présentes. Le Client assume toutes les conséquences de ce délai en cas de défaut d’instruction écrite. A l’issue de ce délai, BlueDigital détruit les données concernées.
Dans l’hypothèse d’une suppression des Données personnelles, BlueDigital s’engage à conserver toutes les preuves nécessaires et utiles de la bonne réalisation de cette suppression, sous toute forme utile.
III. Obligations du Client
Les obligations du Client comprennent ce qui suit. Le Client garantit ainsi BlueDigital contre toute revendication ou action de tiers au titre de ses obligations et s’engage à prendre à sa charge, au fil de l’eau, toutes les dépenses, condamnations, frais, honoraires d’avocat que le Client pourrait supporter du fait de ces procédures.
Le Client déclare et garantit avoir informé les personnes concernées de l’ensemble de leurs droits et des mentions obligatoires telles que visées par la réglementation applicable et d’avoir recueilli, le cas échéant, le consentement conformément à la réglementation applicable. Le Client s’engage à fournir les informations et recueillir le consentement des personnes conformément au règlement 2016/679 et, le cas échéant, à refournir et/ou recueillir à nouveau leur consentement, conformément à ce règlement.
Le Client déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :
- garantir à la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des données personnelles et ce, conformément à l’état de l’art et aux présentes ;
- rétablir, le cas échéant, la disponibilité des données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.
En tant que responsable de traitement, le Client s’engage et garantit déterminer, pour chaque type de données et chaque finalité, une durée de conservation conforme à la réglementation en vigueur. Le Client s’engage à communiquer à BlueDigital ces délais de conservation par écrit.