PROOFTIK WEB - CONDITIONS GÉNÉRALES DE VENTE
(CGV)
1. Vendeur. PROOFTIK WEB est une solution proposée par la
société BOLT-ID, SAS au capital de 19 990 euros dont le siège social
est situé 6 cheminement du docteur Didier Dasque, immatriculée au
registre du commerce et des sociétés de Toulouse sous le numéro 927
892 034.
2. Solution. PROOFTIK WEB est une plateforme d’émargement en
ligne pour les organismes de formations, les formateurs indépendants
et toute entreprise souhaitant dématérialiser l’émargement de
documents.
3. Client. Le Client agit à titre professionnel et garantit :
• D’avoir la capacité juridique à conclure les CGV ;
• De disposer des prérequis techniques et matériels
nécessaires à l’utilisation de PROOFTIK WEB ;
• D’avoir vérifié l’adéquation de PROOFTIK WEB à ses
besoins et à ceux des Utilisateurs ;
• D’avoir reçu de BOLT-ID toutes les informations et conseils
nécessaires pour souscrire aux CGV.
4. Objet. Les présentes CGV ont pour objet de définir les conditions
d’achat de crédits de signatures (« Crédits ») permettant l’utilisation de
PROOFTIK WEB et les obligations des parties.
5. Opposabilité. L’achat de Crédits vaut acceptation des CGV.
Aucune autre condition ne peut, si elle n’a pas été préalablement et
expressément acceptée par les Parties, prévaloir sur le Contrat. Toute
condition contraire imposée par l’une des Parties sera donc écartée à
défaut d’acceptation préalable et expresse de l’autre Partie et ceci, quel
que soit le moment où elle aura pu être portée à sa connaissance. Les
CGV applicables sont celles au moment de la commande d’achat de
crédits.
6. Souscription. Les Crédits peuvent être achetés après
identification sur le site. Le contrat est conclu dès lors que le Client
accepte les CGV et valide sa commande.
7. Identifiants. Les identifiants de connexion personnels et
confidentiels. Le Client s'engage à conserver ses identifiants
strictement confidentiels et à ne pas les communiquer à des tiers.
Toute utilisation des identifiants est réputée effectuée par l'Utilisateur
lui-même, qui en assume l'entière responsabilité. Le Client est tenu de
prendre toutes les mesures nécessaires pour sécuriser ses Identifiants
et prévenir toute utilisation non autorisée. En cas de perte, vol ou
suspicion d'utilisation frauduleuse des identifiants, le Client doit en
informer immédiatement BOLT-ID, qui procédera à la désactivation
des Identifiants concernés et/ou à leur réinitialisation.
8. Contrat conclu par voie électronique. Conformément à l'article
1127-3 alinéa 2 du Code civil, les Parties déclarent expressément
déroger et ne pas faire application des alinéas 1° et 5°de l'article 1127-
1 du Code civil et de l'article 1127-2 du même Code.
9. Prix. L’achat de Crédit s’effectue en ligne selon la grille tarifaire en
vigueur au moment de l’achat. A chaque fois qu’une signature est
réalisée via Prooftik Web, un crédit de signature est décompté. Les
Crédits sont valables deux ans suivant leur date d’achat. BOLT-ID peut
modifier les tarifs des crédits à tout moment.
10. Paiement. Le paiement est réalisé à la commande. Toute
contestation liée à une facture doit être réalisée avant la date
d’exigibilité de la facture sous peine d’irrecevabilité. Tout retard ou
défaut de paiement d’une facture non-contestée donnera lieu à
l’application d’intérêts de retard correspondent au taux de la Banque
centrale européenne majoré de dix (10) points, par jour de retard,
calculés sur l’intégralité des sommes restant dues par le Client, du jour
de leur échéance au jour de leur règlement, et d’une indemnité
forfaitaire de quarante (40) euros pour tous frais de recouvrement, et
toute indemnisation complémentaire résultant des frais engagés par
PROOFTIK WEB pour le recouvrement. Si le Client ne paye pas dans
les délais toute somme qui serait exigible BOLT-ID pourra, sans
préjudice de ses autres droits ou recours, suspendre l’exécution des
Services PROOFTIK WEB jusqu’à réception du paiement intégral de
ces sommes.
11. Utilisation. PROOFTIK WEB ne fonctionne qu’avec une
plateforme gestionnaire. Son utilisation nécessite la création d’un
compte et l’import ou saisie de données : nom, prénom et adresse
mails de participants ou de salariés. Depuis la plateforme, l’utilisateur
envoie des invitations à signer ou édite un lien avec QR code. En
cliquant sur ce lien, les signataires ouvrent une page web où ils
indiquent leur nom puis signent manuellement.
12. Droits du Client. En contrepartie du paiement du prix convenu,
BOLT-ID concède au Client, pendant la durée du Contrat, sur le
territoire désigné aux conditions particulières, au Licencié un droit non
cessible, non transférable, non exclusif, sans droit de sous-licencié de
permettre à ses Utilisateurs d’accéder et d’utiliser PROOFTIK WEB.
13. Obligations du Client. Le Client s’engage à utiliser PROOFTIK
WEB conformément au Contrat, à la documentation, à la
règlementation applicable et se porte fort de leurs respects par les
Utilisateurs.
14. Garantie.
14.1. Étendue de la garantie. BOLT-ID garantit uniquement
la conformité de la solution PROOFTIK WEB à sa
documentation. En cas de non-conformité, BOLT-ID devra
remplacer ou réparer la Solution afin de la rendre conforme à
sa documentation. A défaut, chacune des parties pourra mettre
fin au contrat.
14.2. Exclusions de garantie. BOLT-ID ne donne aucune
autre garantie contractuelle supplémentaire. TOUTE AUTRE
GARANTIE EXPRESSE OU IMPLICITE DE QUELQUE NATURE QUE CE
SOIT EST EXPRESSEMENT EXCLUE ; BOLT-ID NE GARANTIT PAS
QUE PROOFTIK WEB EST EXEMPTE D'ANOMALIES, DE VIRUS ET
QUE SON FONCTIONNEMENT SERA ININTERROMPU, NI SON
ADEQUATION A UN USAGE PARTICULIER DU CLIENT. BOLT-ID
EXCLUT TOUTE RESPONSABILITE SUR LE MATERIEL DU CLIENT OU
DE L’UTILISATEUR. LA GARANTIE DES VICES-CACHES TELLE QUE
DEFINIE PAR LES ARTICLES 1641 ET SUIVANTS DU CODE CIVIL EST
EXPRESSEMENT EXCLUE. LE CLIENT NE POURRA EN AUCUNE
FAÇON METTRE EN JEU LA RESPONSABILITE DE BOLT-ID EN CAS
DE CONDAMNATION LIEE A SON EXPLOITATION.
15. Sécurité. BOLT-ID s’engage à assurer la sécurité de sa solution
conformément aux mesures de sécurité décrites dans son Plan
d’Assurance Sécurité (PAS). Le Client doit veiller à garantir la sécurité
des utilisateurs, de ses salariés et sous-traitants, ainsi que son
matériel, dont il est seul responsable. À ce titre il lui appartient de
respecter toute réglementation applicable à son activité.
16. Propriété intellectuelle. Le Contrat n’entraine aucun transfert de
propriété de quelque nature que ce soit au profit du Client. Tout le
contenu des sites web et programmes informatiques, logiciels,
produits, éléments graphiques d’interface ou des autres éléments
associés aux services fournis par BOLT-ID est protégé par des droits
de propriété intellectuelle appartenant exclusivement à BOLT-ID. Ce
contenu ne peut être reproduit, traduit, transcrit, ou modifié sous
quelque forme ni par quelque moyen que ce soit, sans l’accord écrit
préalable de BOLT-ID. Le Client n’est pas autorisé à copier, modifier,
distribuer, publier, transmettre ou créer des travaux dérivés de tout
élément de ce contenu et il s’interdit notamment d’effectuer une
ingénierie inverse de PROOFTIK WEB en vue d’élaborer directement
ou indirectement un produit ou service concurrent et/ou de copier,
reproduire toute fonctionnalités, fonctions ou tout attribut graphique de
PROOFTIK WEB. Le Client s'engage à respecter les droits de propriété
intellectuelle applicables et à faire respecter ces droits par les
utilisateurs. le Client s'engage notamment : à ne pas modifier, altérer,
adapter ou apporter quelque changement de quelque nature que ce
soit à la présentation et au contenu proposé, ni au matériel
promotionnel qui lui sera remis par BOLT-ID ; à ne pas modifier,
supprimer ou altérer, de quelque manière et pour quelque raison que
ce soit, les signes distinctifs de BOLT-ID, tels que marque, nom
commercial, logos, etc. apposés sur tout support de BOLT-ID, leur
présentation, les outils promotionnels; le Client s'engage à informer
sans délai BOLT-ID de toute atteinte aux droits de propriété
intellectuelle de ce dernier qu'il pourra éventuellement constater.
2
BOLT-ID ne donne pas d'autre garantie que celle résultant de son fait
personnel au titre de la garantie d’éviction.
17. Confidentialité. Les parties s’engagent, pendant toute la durée de
la prestation à une obligation de confidentialité quant aux informations
confidentielles de l’autre partie, conformément à leur niveau de
sensibilité ou de classification, auxquelles il aurait pu avoir accès dans
le cadre de l'exécution des présentes, à moins que lesdites
informations confidentielles ne soient tombées dans le domaine public
ou que leur divulgation soit rendue nécessaire en vertu d'un règlement
particulier, d'une injonction administrative ou judiciaire.
18. Hébergement des données. Toutes les informations sensibles de
nos clients sont stockées dans des datacenter Tier3+ situés en France.
Le système d’information contient les défenses suivantes : Anti DDoS
au niveau de la couche physique ; IDS, IPS au niveau de la couche
physique ; Antivirus installé sur les serveurs (couche système) ;
Restriction d’accès au niveau utilisateur ; Filtrage de flux au moyen de
pare feu.
19. Disponibilité. BOLT-ID s’engage à mettre en œuvre tous les
moyens dont elle dispose pour assurer une bonne qualité d’accès à
PROOFTIK WEB. PROOFTIK WEB est accessible 24 h/24 h, 7 jours
sur 7 sauf en cas de force majeure, circonstances exceptionnelles, ou
d’un évènement hors du contrôle de notre société, ou en cas de danger
imminent et sous réserve des éventuelles interventions nécessaires au
bon fonctionnement de la solution. Vous acceptez que BOLT-ID puisse
cesser (de manière permanente ou temporaire) la fourniture de Crédits
à sa seule discrétion sans préavis.
19.1. Niveau de service. L’engagement de service est le suivant
:
- Accès au service de 8h à 19h ;
- Tous les jours de la semaine
- Niveau de service : 98% sur base 24h
18.2. Engagement de niveau de service. En cas de non-respect
de cet engagement sur un mois consécutif, notre société remboursera
au prorata du pourcentage de l’indisponibilité constatée le montant de
la licence du mois concerné relative à l’utilisation de la solution sur
demande justifiée du Client dans un délai de deux (2) mois suivants la
date concernée par le non-respect de l’engagement sous peine de
forclusion. En tout état de cause, les pénalités ne pourront dépasser le
montant de l’abonnement en cours calculé sur le mois concerné.
L'engagement de service et donc la responsabilité de notre société est
exclue en période de maintenance annoncée, force majeure,
évènement hors du contrôle de notre société, fait d’un tiers, faute du
Client ou manquement à ses obligations contractuelles, mauvaise
utilisation de la Solution par le Client, danger imminent, en cas des
perturbations, coupures et/anomalies qui ne sont pas de son fait et qui
affecteraient les transmissions par le réseau internet et plus
généralement par le réseau de communication, quelles qu’en soient
l’importance et la durée. Cet engagement de niveau de service revêt le
caractère d’une clause pénale forfaitaire et libératoire.
20. Données à caractère personnel du Client. Le Client est informé
que BOLT-ID collecte des données à caractère personnel concernant
le Client (nom prénom du responsable et du contact pour la facturation,
téléphone, email) ; ce traitement informatisé a pour finalité la gestion
des Clients et du logiciel PROOFTIK WEB ; les données du Client sont
conservées pour une durée maximale de 5 ans à compter de la fin de
la relation commerciale et sont destinées à BOLT-ID, à ses prestataires
en charge de la comptabilité, du conseil et du contrôle, aux
organismes, auxiliaires de justice et officiers ministériels dans le cadre
de leur mission de recouvrement de créances. Le Client bénéficie d’un
droit d’accès, de rectification, de portabilité et effacement de ses
données à caractère personnel ainsi que la possibilité de demander la
limitation du traitement des données le concernant. Ces droits peuvent
être exercés auprès de BOLT-ID. Le Client est informé de la possibilité
d’introduire une réclamation auprès d’une autorité de contrôle, la CNIL
en France.
21. Données à caractère personnel des utilisateurs. En tant que
sous-traitant, BOLT-ID traite des données à caractère personnel pour
le compte du Client, les Parties se conformeront aux dispositions des
CCT dont les stipulations prévaudront en cas de contradiction avec
toute autre stipulation du présent Contrat. Le Client est informé que
BOLT-ID collecte des données à caractère personnel des utilisateurs
des applications mobiles PROOFTIK WEB (nom, prénom et mail
d’étudiants et d’enseignants utilisant PROOFTIK WEB dans le cadre et
les conditions définies par la Client) ; ce traitement informatisé a pour
finalité la gestion et le fonctionnement de la solution PROOFTIK WEB ;
aucune de ces données n’est ou ne sera utilisée à des fins
commerciales. Les utilisateurs bénéficient d’un droit d’accès, de
rectification, de portabilité et effacement de ses données à caractère
personnel ainsi que la possibilité de demander la limitation du
traitement des données le concernant. Ces droits peuvent être exercés
auprès du Client. Les données des utilisateurs des applications
mobiles PROOFTIK WEB sont toutes signées avec des clés de
chiffrements asymétriques dont la clé privée est stockée dans un
élément sécurité de leur périphérique (téléphone ou tablette).
L’authentification se fait à partir d’un OTP (One Time Password) pour
garantir l’association unique d’une personne avec son périphérique. La
protection des flux de données est assurée par un certificat autosigné
let’s encrypt (certbot). Le certificat est en TLS 1.3 et la notation est de
A sur le SSL Lab Scoring. Les sauvegardes sont de type FULL et sont
effectuées chaque jour vers un bucket object storage géo-redondé en
France (multi-AZ) La rétention des données est de 14 jours
calendaires. Des tests de restauration sont effectués régulièrement.
22. Assurances - chacune des parties déclare avoir souscrit, auprès
d'un organisme notoirement solvable, une assurance responsabilité
civile professionnelle et exploitation couvrant l’ensemble des
dommages susceptibles de lui être imputés dans le cadre des
présentes. Chacune des parties s’engage à maintenir cette assurance
pendant toute la durée du contrat, et à fournir à l’autre partie, sur simple
demande de sa part, une attestation mentionnant le nom de la
compagnie, le numéro de la police d’assurance, ainsi que la nature et
le montant des garanties.
23. Responsabilité
23.1. Limitation de responsabilité. LA RESPONSABILITÉ
DE BOLT-ID NE POURRA ÊTRE RECHERCHÉE QU’EN CAS DE
FAUTE PROUVÉE AYANT ENTRAINÉ UN DOMMAGE DIRECT ET
PRÉVISIBLE.
23.2. Exclusion de responsabilité. BOLT-ID N’EST PAS
RESPONSABLE DES MATÉRIELS ET SOLUTIONS FOURNIS PAR
LES DIFFÉRENTS FOURNISSEURS NI DE LA CONNEXION
INTERNET CHOISIE PAR LE CLIENT ET/OU LES UTILISATEURS.
SOUS RÉSERVE DES RÈGLES IMPÉRATIVES APPLICABLES,
BOLT-ID NE POURRA EN AUCUNE CIRCONSTANCE ENCOURIR
DE RESPONSABILITÉ AU TITRE DES PERTES OU DOMMAGES
INDIRECTS, MATÉRIELS OU IMMATÉRIELS, CONSÉCUTIF OU
NON OU IMPRÉVISIBLES DU CLIENT OU DES TIERS, CE QUI
INCLUT NOTAMMENT TOUT GAIN MANQUE, PERTE,
INEXACTITUDE OU CORRUPTION DE FICHIERS OU DE
DONNÉES, PRÉJUDICE FINANCIER OU COMMERCIAL, PERTE DE
CHIFFRE D’AFFAIRES OU DE BÉNÉFICE, PERTE DE COMMANDE
OU DE CLIENTÈLE, PERTE D’UNE CHANCE, PERTE D’IMAGE,
COÛT DE L’OBTENTION D’UN PRODUIT, D’UN SERVICE OU DE
TECHNOLOGIE DE SUBSTITUTION, EN RELATION OU
PROVENANT DE L’INEXÉCUTION OU DE L’EXÉCUTION FAUTIVE
DES SERVICES AINSI QUE TOUTE ACTION DIRIGÉE CONTRE LE
CLIENT PAR UN TIERS. LA RESPONSABILITÉ DE BOLT-ID EST
EXCLUE DANS LES CAS SUIVANTS : PANNES OU ANOMALIES DE
FONCTIONNEMENT DES LOGICIELS, SOLUTIONS ET MATÉRIELS
RÉSULTANT DE MODIFICATIONS, DE CHANGEMENT DE
PARAMÉTRAGES, ETC., PROPRES AU CLIENT ; CONTAMINATION
DES FICHIERS DU CLIENT PAR TOUT VIRUS ; DU FAIT DU CLIENT
OU D’UN TIERS ; DÉFAUT DE PAIEMENT PAR LE CLIENT ;
DYSFONCTIONNEMENT CAUSÉ PAR DES MATÉRIELS OU DES
SERVICES NON FOURNIS PAR BOLT-ID; INCIDENTS
IMPUTABLES AU CLIENT; COUPURES GÉNÉRALISÉES
D’ALIMENTATION SUR LE SITE DU CLIENT, IMPOSSIBILITÉ DE
JOINDRE LE CLIENT, FORCE MAJEURE.
23.3. PLAFOND DE RESPONSABILITE. EN TOUT ETAT DE CAUSE, SI
LA RESPONSABILITE DE BOLD-IT ETAIT ENGAGEE PAR LE CLIENT AU TITRE
DES PRESENTES POUR LES DOMMAGES DIRECTS ET PREVISIBLES SUBIS PAR
LE CLIENT, LE DROIT A REPARATION DU CLIENT SERAIT LIMITE, TOUTE CAUSE
CONFONDUE ET POUR LA DUREE TOTALE DE LA PRESTATION EN CAUSE, AU
PRIX ENCAISSE PAR BOLT-ID AU TITRE DU CONTRAT LE CLIENT RENONCE A
TOUT RECOURS CONTRE BOLD-IT AU-DELA D’UNE DUREE DE DEUX (2) ANS
APRES LA SURVENANCE D’UN EVENEMENT DOMMAGEABLE.
3
24. Cession. BOLT-ID pourra librement, sans autre formalité que
l’information du Client par lettre recommandée avec accusé de
réception, céder le Contrat dans sa globalité à tout tiers de son choix,
sous réserve de l’engagement de ce tiers d’assurer l’exécution des
obligations incombant à BOLT-ID. Le Client ne pourra en aucun cas
céder ou transférer, pas plus que les droits et obligations qui y figurent,
à quelque personne et sous quelque forme que ce soit, le présent
Contrat sans l’accord exprès, préalable et écrit de BOLT-ID. En tout
état de cause, le Client s’interdit toute fusion, cession de titre ou de son
fonds de commerce à un concurrent direct ou indirect de BOLT-ID,
ainsi que toute prise de participation au sein de son capital d’un
concurrent direct ou indirect de BOLT-ID.
25. Convention de preuve. Les documents sous forme électronique,
échangés entre les Parties, feront preuve sous réserve que puisse être
dûment identifiée la personne dont ils émanent. Les enregistrements
informatisés, conservés dans les systèmes informatiques de BOLT-ID,
seront considérés comme les preuves de l’accès et de l’utilisation de
PROOFTIK WEB sauf preuve contraire rapportée par le Client.
26. Références. BOLD-IT est autorisé à utiliser et reproduire le nom,
le logo et la marque du Client sur tout support promotionnel au titre de
référence commerciale. A ce titre, le Client lui concède une licence
mondiale, non exclusive et non transmissible sans redevance et
révocable à tout moment, pour la durée de protection de ses droits de
propriété intellectuels sur ses logos et marques sur tous supports.
27. Courrier électronique. Le Client accepte que les informations qui
sont demandées en vue de la conclusion d'un contrat ou celles qui sont
adressées au cours de son exécution soient transmises par courrier
électronique.
28. Loi applicable. Le présent contrat est soumis au droit français, à
l’exclusion de toute autre législation.
29. Médiation. Les différends qui viendraient à se produire à propos
de la validité, de l’interprétation, de l’exécution ou de l’inexécution, de
l’interruption ou de la résiliation du présent contrat, seront soumis au
choix des parties : À la médiation conformément au règlement de
médiation du CMAP auquel les parties déclarent adhérer ou au
médiateur des entreprises ou À tout autre centre de médiation ou
médiateur agréé par les deux parties. Les éventuels honoraires du
médiateur seront partagés à parts égales entre les Parties.
30. Tribunal compétent. Les Parties conviennent de porter toute
réclamation découlant de l'interprétation, l'application,
l'accomplissement, l'entrée en vigueur, la validité et les effets du
présent contrat devant le TRIBUNAL DE COMMERCE DE TOULOUSE,
nonobstant pluralité de défendeur ou appel en garantie.
4
Clauses contractuelles types (CCT)
SECTION I
Clause 1 Objet et champ d’application
a) Les présentes clauses contractuelles types (ci-après les « clauses ») ont pour objet de garantir la conformité avec l’article 28,
paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant
la directive 95/46/CE (règlement général sur la protection des données).
b) Les responsables du traitement et les sous-traitants énumérés à l’annexe I ont accepté ces clauses afin de garantir le respect des
dispositions de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 et/ou des dispositions de l’article 29, paragraphes 3 et
4, du règlement (UE) 2018/1725.
c) Les présentes clauses s’appliquent au traitement des données à caractère personnel tel que décrit à l’annexe II.
d) Les annexes I à IV font partie intégrante des clauses.
e) Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement
(UE) 2016/679 et/ou du règlement (UE) 2018/1725.
f) Les clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux
conformément au chapitre V du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
Clause 2 Invariabilité des clauses
a) Les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout d’informations aux annexes ou la mise à jour
des informations qui y figurent.
b) Les parties ne sont pour autant pas empêchées d’inclure les clauses contractuelles types définies dans les présentes clauses dans
un contrat plus large ni d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas,
directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes
concernées.
Clause 3 Interprétation
a) Lorsque des termes définis respectivement dans le règlement (UE) 2016/679 ou dans le règlement (UE) 2018/1725 figurent dans les
clauses, ils s’entendent comme dans le règlement en question.
b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 et du règlement
(UE) 2018/1725 respectivement.
c) Les présentes clauses ne doivent pas être interprétées d’une manière contraire aux droits et obligations prévus par le règlement (UE)
2016/679 / le règlement (UE) 2018/1725 ou d’une manière qui porte atteinte aux libertés ou droits fondamentaux des personnes
concernées.
Clause 4 Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les parties au moment où les
présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.
Clause 5 Clause d’amarrage
a) Toute entité qui n’est pas partie aux présentes clauses peut, avec l’accord de toutes les parties, y adhérer à tout moment, en qualité
soit de responsable du traitement soit de sous-traitant, en complétant les annexes et en signant l’annexe I.
b) Une fois que les annexes mentionnées au point a) sont complétées et signées, l’entité adhérente est considérée comme une part ie
aux présentes clauses et jouit des droits et est soumise aux obligations d’un responsable du traitement ou d’un sous-traitant,
conformément à sa désignation à l’annexe I.
c) Les présentes clauses ne créent pour la partie adhérente aucun droit ni aucune obligation pour la période précédant l’adhésion.
SECTION II OBLIGATIONS DES PARTIES
Clause 6 Description du ou des traitements
Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour
lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’annexe II.
Clause 7 Obligations des parties
7.1. Instructions
a) Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins
qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-
traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs
importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant
toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.
b) Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du
traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de
l'Union ou du droit des États membres relatives à la protection des données.
7.2. Limitation de la finalité
Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à
l’annexe II, sauf instruction complémentaire du responsable du traitement.
7.3. Durée du traitement des données à caractère personnel
5
Le traitement par le sous-traitant n’a lieu que pendant la durée précisée à l’annexe II.
7.4. Sécurité du traitement
a) Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe III pour assurer la sécurité
des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité
entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère
personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’éva luation du niveau
de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la na ture,
de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
b) Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement
que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les
personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une
obligation légale appropriée de confidentialité.
7.5. Données sensibles
Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions
religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins
d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou
l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données
sensibles»), le sous-traitant applique des limitations spécifiques et/ou des garanties supplémentaires.
7.6. Documentation et conformité
a) Les parties doivent pouvoir démontrer la conformité avec les présentes clauses.
b) Le sous-traitant traite de manière rapide et adéquate les demandes du responsable du traitement concernant le traitement des
données conformément aux présentes clauses.
c) Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des
obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679 et/ou du règlement (UE)
2018/1725. À la demande du responsable du traitement, le sous-traitant permet également la réalisation d’audits des activités de
traitement couvertes par les présentes clauses et y contribue, à intervalles raisonnables ou en présence d’indices de non-conformité.
Lorsqu’il décide d’un examen ou d’un audit, le responsable du traitement peut tenir compte des certifications pertinentes en
possession du sous-traitant.
d) Le responsable du traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits
peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et sont, le cas échéant,
effectués moyennant un préavis raisonnable.
e) Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en
font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.
7.7. Recours à des sous-traitants ultérieurs
a) le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants
ultérieurs sur la base d’une liste convenue. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout
projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins sept (7) jours calendaires à
l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le
recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations
nécessaires pour lui permettre d’exercer son droit d’opposition.
b) Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du
responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations
en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à
ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du
règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
c) À la demande du responsable du traitement, le sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur
et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres
informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant
d’en diffuser une copie.
d) Le sous-traitant demeure pleinement responsable, à l’égard du responsable du traitement, de l’exécution des obligations du sous-
traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informe le responsable du traitement
de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.
e) Le sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le sous-
traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le responsable du traitement a le droit de
résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les
données à caractère personnel.
7.8. Transferts internationaux
a) Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base
d’instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du
droit de l’État membre à laquelle le sous-traitant est soumis et s’effectue conformément au chapitre V du règlement (UE) 2016/679
ou du règlement (UE) 2018/1725.
b) Le responsable du traitement convient que lorsque le sous-traitant recrute un sous-traitant ultérieur conformément à la clause 7.7
pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement
impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le
sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles
types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les
conditions d’utilisation de ces clauses contractuelles types soient remplies.
6
Clause 8 Assistance au responsable du traitement
a) Le sous-traitant informe sans délai le responsable du traitement de toute demande qu’il a reçue de la part de la personne concernée.
Il ne donne pas lui-même suite à cette demande, à moins que le responsable du traitement des données ne l’y ait autorisé.
b) Le sous-traitant prête assistance au responsable du traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux
demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. Dans l’exécution de ses
obligations conformément aux points a) et b), le sous-traitant se conforme aux instructions du responsable du traitement.
c) Outre l’obligation incombant au sous-traitant d’assister le responsable du traitement en vertu de la clause 8, point b), le sous-traitant
aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et
des informations dont dispose le sous-traitant :
1) L’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données
à caractère personnel (« analyse d’impact relative à la protection des données ») lorsqu’un type de traitement est susceptible de
présenter un risque élevé pour les droits et libertés des personnes physiques ;
2) L’obligation de consulter l'autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement
lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le
responsable du traitement ne prenait pas de mesures pour atténuer le risque ;
3) L’obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le responsable
du traitement si le sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues
obsolètes ;
4) Les obligations prévues à l’article 32 du règlement (UE) 2016/679.
d) Les parties définissent à l’annexe III les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu
de prêter assistance au responsable du traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de
l’assistance requise.
Clause 9 Notification de violations de données à caractère personnel
En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux
fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679 ou des articles
34 et 35 du règlement (UE) 2018/1725, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont
dispose le sous-traitant.
9.1. Violation de données en rapport avec des données traitées par le responsable du traitement
En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant
prête assistance au responsable du traitement :
a) Aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de
contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf
si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes
physiques);
b) Aux fins de l’obtention des informations suivantes qui, conformément à l’article 33, paragraphe 3, du règlement (UE) 2016/679 doivent
figurer dans la notification du responsable du traitement, et inclure, au moins :
1) La nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes
concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel
concernés ;
2) Les conséquences probables de la violation de données à caractère personnel ;
3) Les mesures prises ou les mesures que le responsable du traitement propose de prendre pour remédier à la violation de données
à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initia le
contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations
supplémentaires sont communiquées par la suite dans les meilleurs délais ;
c) Aux fins de la satisfaction, conformément à l’article 34 du règlement (UE) 2016/679, de l’obligation de communiquer dans les meilleurs
délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel
est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
9.2. Violation de données en rapport avec des données traitées par le sous-traitant
En cas de violation de données à caractère personnel en rapport avec des données traitées par le sous-traitant, celui-ci en informe le
responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :
a) Une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes
concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
b) Les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation
de données à caractère personnel ;
c) Ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y
compris pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initia le contient les
informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées
par la suite dans les meilleurs délais.
Les parties définissent à l’annexe III tous les autres éléments que le sous-traitant doit communiquer lorsqu’il prête assistance au responsable
du traitement aux fins de la satisfaction des obligations incombant à ce dernier en vertu des articles 33 et 34 du règlement (UE) 2016/679.
SECTION III DISPOSITIONS FINALES
7
Clause 10 Non-respect des clauses et résiliation
a) Sans préjudice des dispositions du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, en cas de manquement du sous-
traitant aux obligations qui lui incombent en vertu des présentes clauses, le responsable du traitement peut donner instruction au
sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes
clauses ou jusqu’à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s’il n’est pas en
mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.
b) Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère
personnel conformément aux présentes clauses si :
1) Le traitement de données à caractère personnel par le sous-traitant a été suspendu par le responsable du traitement conformément
au point a) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai
d’un mois à compter de la suspension ;
2) Le sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement
(UE) 2016/679 et/ou du règlement (UE) 2018/1725;
3) Le sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle
compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou
du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
c) Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en
vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences
juridiques applicables conformément à la clause 7.1, point b), le responsable du traitement insiste pour que ses instructions soient
suivies.
d) À la suite de la résiliation du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à
caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette
suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et détruit les copies existantes, à
moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. Le sous-traitant continue de veiller à la
conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.
ANNEXE I Liste des parties
Les clauses entrent en vigueur à compter de l’entrée en vigueur du contrat auquel il est attaché et reste en vigueur durant toute la durée de la
relation contractuelle unissant le client (le « responsable de traitement ») et BOLT ID (le « sous-traitant »).
BOLT ID
• RCS de Toulouse : 927 892 034
• Mail : contact@prooftik.com
• Adresse postale : 6 Cheminement du Docteur Didier Dasque 31400 Toulouse
• Téléphone : + 33 6 87 55 10 56 du lundi au vendredi de 9h à 17h
ANNEXE II Description du traitement
Catégories de personnes concernées dont les données à caractère personnel sont traitées : Clients du responsable de traitements,
utilisateurs de la solution (élèves, intervenants, tuteurs, etc.)
Catégories de données à caractère personnel traitées : les données des clients traitées dans le cadre de la solution sont :
- Les données d’identification des utilisateurs : nom, prénom, adresse mail, promotion, société
- Les données liées à la séance : date de la séance, présence
- Les statistiques : nombre de formations, taux d’assiduité,
Nature du traitement : Collecte, extraction, stockage des données des personnes concernées
Finalité(s) pour laquelle (lesquelles) les données à caractère personnel sont traitées pour le compte du responsable du traitement : gestion
des participants, feuilles de présences, contrôle et gestion de l’assiduité
Durée du traitement : durée de la relation contractuelle
Pour le traitement par les sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement :
- Prestataire(s) d’hébergement
Objet & nature : hébergement des données
Durée : durée de la relation contractuelle
ANNEXE III Mesures techniques et organisationnelles, y compris mesures techniques et organisationnelles visant à garantir la
sécurité des données
Les mesures techniques et organisationnelles font l’objet d’une description dans le Plan d’Assurance Sécurité.
ANNEXE IV Liste de sous-traitants ultérieurs
| Nom | Adresse | Coordonnées de la personne de contact | Description du traitement | Mesures de sécurité |
|---|---|---|---|---|
| SARL GETCAAS | 12 rue Albert Einstein - 48000 Mende | contact@getcaas.io | Hébergement des données | https://getcaas.io/informations/gdpr |