Skip to content
Demander une démo

Conditions Générales de Vente

Interstis Version du 08.07.2024

Les présentes Conditions Générales de Vente (ci-après les « CGV ») ont pour objet de définir les conditions de fourniture en mode SaaS (Software as a Service) de services et solutions logicielles par Interstis au client, ainsi que les conditions dans lesquelles le client peut y accéder.

Les présentes CGV sont applicables à l’ensemble des services et solutions logicielles d’Interstis actuelles et à venir.

Elles forment avec l’Annexe « Services et Applicatifs », les Conditions Particulières de Vente (ci-après les « CPV »), les Conditions Générales d’Utilisation (ci-après les « CGU ») et l’ensemble des documents auxquels il est fait référence, un contrat (ci-après le « Contrat ») entre la société S.A.S INTERSTIS PARTENAIRES au capital de 184 548,87 euros, inscrite au Registre du Commerce et des Sociétés de Chalon-sur-Saône sous le numéro 802 523 936, dont le siège social se situe au 11 rue Jean Jaurès 71200 Le Creusot (ci-après le « PRESTATAIRE ») et toute personne physique ou morale, de droit privé ou de droit public (ci-après le « CLIENT »). Le CLIENT et le PRESTATAIRE sont dénommés individuellement ou conjointement la ou les « Partie(s) ».

Les termes commençant par une majuscule ont le sens défini dans le cadre des présentes Conditions Générales de Vente.

Le PRESTATAIRE est spécialisé dans la fourniture de services informatiques en mode SaaS (Software as a Service ou logiciel en tant que service). La liste des services informatiques et des applicatifs susceptibles d'être mis à disposition du CLIENT figure dans l’Annexe « Services et Applicatifs » jointe aux présentes CGV.

Les services proposés par le PRESTATAIRE sont accessibles à distance, par le réseau Internet.

Le PRESTATAIRE a été choisi par le CLIENT en raison des avantages économiques et techniques de sa solution, et notamment pour la simplicité d'utilisation de sa solution, la fiabilité et la sécurité de ses applications, la progressivité de son offre et la dégressivité de ses tarifs.

1. Définitions

Abonnement : offre technique et financière choisie par le CLIENT pour une période définie dans les CPV.

Applicatifs : ensemble des programmes et solutions logicielles mis à disposition du CLIENT en mode SaaS dans le cadre des Services et listés dans l’Annexe « Services et Applicatifs » jointe aux présentes CGV.

Données : ensemble des informations et données du CLIENT générées par la mise en œuvre des Applicatifs ou traitées par ceux-ci.

Données Personnelles : données qui, au sens de la réglementation du RGPD définit dans l’article 4, sont  des « données à caractère personnel » et permettent de désigner ou d'identifier, directement ou indirectement, une personne physique.

Espace collaboratif : espace numérique affecté à un projet, à un service, à une équipe ou à un groupe de travail et dans lequel le CLIENT, par le biais d’un ou plusieurs Utilisateurs autorisés par lui, peut inviter tout autre Utilisateur.

Identifiant : désigne le terme spécifique par lequel chaque Utilisateur s'identifiera pour se connecter aux Services. L'Identifiant sera toujours accompagné d'un mot de passe propre à l'Utilisateur.

Nom de domaine : sur Interstis, la balise permettant de rattacher au CLIENT les Espaces collaboratifs créés par les Utilisateurs autorisés par lui.

Services : ensemble des services et solutions logicielles sélectionnés par le CLIENT dans les CPV. L’ensemble des services proposés par le PRESTATAIRE sont listés dans l’Annexe « Services et Applicatifs » jointe aux présentes CGV.

Utilisateur : toute personne physique possédant un compte sur Interstis conformément aux Conditions Générales d’Utilisation. 

2. Entrée en vigueur et durée du contrat

Le Contrat entre en vigueur à compter de la date de la signature et pour une durée fixée par les Parties dans les CPV.

3. Conditions de mise en œuvre des services

3.1 Services

Le PRESTATAIRE met à disposition du CLIENT l'ensemble des Services, dont les Applicatifs afférents listés à l’Annexe « Services et Applicatifs », pendant la durée prévue aux CPV et dans les conditions fixées par les Conditions Générales d’Utilisation accessibles sur le site du PRESTATAIRE ou par le lien ci-contre.

Sous réserve des dispositions prévues à l’Annexe Traitement des données (RGPD) jointe aux présentes CGV et accessible sur le site du PRESTATAIRE à l’adresse www.interstis.fr/mentions-legales/, le PRESTATAIRE est autorisé à sous-traiter tout ou partie des Services mis à sa charge. Le PRESTATAIRE demeure responsable des sous-traitants qu’il fait intervenir dans le cadre de l’exécution du Contrat.

Les Services sont fournis dans le cadre d'une infrastructure partagée utilisant les ressources du PRESTATAIRE et de ses sous-traitants, sous réserve du respect par le CLIENT des obligations lui incombant, notamment en ce qui concerne l'acquittement du prix d’abonnement au réseau internet sans lequel aucun accès n'est possible aux Services.

Le PRESTATAIRE s'engage à apporter tout le soin et la diligence nécessaire à la fourniture des Services conformément aux caractéristiques et modalités prévus au Contrat. Le PRESTATAIRE s’engage notamment à mettre en œuvre les moyens techniques et matériels conformes à l'état de l'art pour assurer la sécurité physique et la maintenance des serveurs qu’il utilise pour la fourniture des Services et qui sont sous sa responsabilité et son contrôle, ainsi qu’à mettre en place les mesures nécessaires pour permettre l'accès aux Données du CLIENT qu'aux personnes autorisées par le PRESTATAIRE (salariés et sous-traitants). Le PRESTATAIRE est soumis à une obligation de moyen.

Le CLIENT ne pourra utiliser les Applicatifs auxquels les Services donnent accès que dans le cadre desdits Services et conformément aux termes des Conditions Générales d’Utilisation. Il est responsable de l'utilisation des Services par les Utilisateurs au sein des Espaces collaboratifs rattachés à son Nom de domaine. Il lui appartient de veiller à ce que les Utilisateurs respectent les conditions contractuelles d'accès aux Services.

Le CLIENT ne pourra céder de quelque façon que ce soit le droit d'accès aux Services sans l'accord préalable et écrit du PRESTATAIRE.

Le CLIENT reconnaît avoir été informé par le PRESTATAIRE de l'ensemble des prérequis techniques nécessaires au fonctionnement optimal des Services. Le CLIENT est par ailleurs informé du fait que ces prérequis peuvent évoluer au cours du Contrat, notamment pour des raisons techniques. Si une évolution intervient au cours du Contrat, le PRESTATAIRE modifiera l’Annexe « Services et Applicatifs » et en informera le CLIENT en la lui communiquant préalablement à son entrée en vigueur, par e-mail ou en la déposant sur Interstis dans l’espace d’échange avec le PRESTATAIRE.

L’accès aux Services est autorisé dans les conditions définies dans les CPV (ex : nombre d’Espaces collaboratifs, nombre d’adresses mails, …).

Notamment, en cas de souscription par le CLIENT d’un abonnement à la solution Interstis, le CLIENT est informé que lorsque le nombre maximal d’Espaces collaboratifs créés sous le Nom de domaine du CLIENT dépasse celui prévu aux CPV, les conditions tarifaires évoluent comme défini dans les CPV.

Il incombe au CLIENT de conclure les licences nécessaires à l’utilisation des logiciels tiers dans le cadre des Services. Le PRESTATAIRE n’est en aucun cas partie auxdits contrats et la fourniture des Services ne constitue en aucun cas une prestation de distribution desdits logiciels. Le PRESTATAIRE ne saurait supporter la responsabilité d’une quelconque défaillance du CLIENT quant à ses obligations vis-à-vis des tiers titulaires des droits de propriété intellectuelle sur les logiciels concernés. Il appartiendra au CLIENT de relever et garantir le PRESTATAIRE, en tant que de besoin, de toute condamnation au principal, intérêts, frais et accessoires qui pourraient être mis à sa charge en raison de l’utilisation irrégulière d’un logiciel tiers due à une faute du CLIENT.

3.2 Mise a disposition - accès aux services

Le PRESTATAIRE garantit au CLIENT la mise à disposition des Services et Applicatifs dans les conditions prévues aux CPV.

Les Services sont mis à disposition du CLIENT à tout moment, 24H sur 24H et 7 jours sur 7, à l’exception des périodes de maintenance dans les conditions définies ci-après.

Le CLIENT désigne au sein de l’interface d’administration de la plateforme, à tout moment, le(s) Utilisateur(s) autorisé(s) à créer et administrer les Services.

L’accès aux Services par les Utilisateurs s’effectue, pour chaque Utilisateur, à l’aide de son identifiant et son mot de passe à partir de tout ordinateur fixe ou portable et tablette numérique même non situé dans les locaux du CLIENT et conformément à la procédure d’identification prévue par le PRESTATAIRE.

L’Identifiant de chaque Utilisateur correspond obligatoirement à l’adresse de sa messagerie électronique professionnelle dont il est l’utilisateur unique. Dans les seuls cas où il ne bénéficie pas d’une adresse de messagerie professionnelle, l’Utilisateur pourra utiliser une adresse de messagerie personnelle dont il est l’utilisateur unique. Le mot de passe est créé individuellement par chaque Utilisateur au cours de la procédure d’inscription prévue par le PRESTATAIRE. Le PRESTATAIRE garantit l’accès aux Services à partir de ces Identifiant et mot de passe. Le mot de passe peut être modifié par l’Utilisateur à tout moment.

Le CLIENT est seul et totalement responsable de l'utilisation et de la confidentialité des Identifiants et des mots de passe des Utilisateurs et devra s'assurer que seules les personnes autorisées ont accès aux Services. Il s’assure notamment que chaque Utilisateur a connaissance et met en place les règles permettant de préserver la confidentialité des Identifiants et mots de passe. Le CLIENT devra informer sans délai le PRESTATAIRE s'il constate une faille de sécurité liée notamment à la communication volontaire, à la perte ou au détournement d'Identifiants et/ou de mots de passe, afin que le PRESTATAIRE puisse mettre en œuvre sans délai une procédure de rappel des identifiants et/ou d'attribution d'un nouveau mot de passe et éventuellement toute mesure adaptée en vue de faire remédier à la faille de sécurité.

Le CLIENT supporte seul les conséquences pouvant résulter de la communication, de la perte ou du détournement d’Identifiants et/ou de mots de passe et la responsabilité du PRESTATAIRE ne pourra en aucun cas être engagée.

Pour utiliser les Services, le CLIENT doit disposer, à ses frais et sous sa seule responsabilité, dune connexion à distance, telle quInternet. Le CLIENT est seul responsable de l'accès aux Services par son canal de communication, il lui appartient de prendre toutes dispositions pour maintenir cet accès internet. Le CLIENT est informé que le réseau Internet présente des aléas techniques qui peuvent entraîner des ralentissements ou des indisponibilités rendant la connexion impossible et des risques de sécurité, indépendants aux moyens techniques mis en œuvre par le PRESTATAIRE. Le PRESTAIRE nest aucunement responsable des défaillances des fournisseurs daccès internet et de tout autre opérateur de réseaux de transport de données, notamment lorsque ces défaillances provoquent une indisponibilité ou une discontinuité des Services. Le PRESTATAIRE est dégagé de toute responsabilité en cas d'impossibilité d'accès internet du fait d'un évènement échappant à son contrôle.

L'accès aux Services peut être momentanément interrompu par le PRESTATAIRE pour des raisons de nécessité liées aux Services et notamment afin d'assurer la maintenance des serveurs du PRESTATAIRE. Le CLIENT ne pourra réclamer aucune indemnité ni mettre en jeu la responsabilité du PRESTATAIRE pour quelque cause que ce soit, notamment les interruptions ne peuvent être considérées comme du temps d’indisponibilité des Services.

En cas d’utilisation illicite ou frauduleuse des Services, en cas de faille de sécurité constatée par le PRESTATAIRE de nature à compromettre la sécurité des Services et/ou les Données du CLIENT ou en cas de non-respect de tout ou partie des Conditions Générales d’Utilisation, le PRESTATAIRE pourra procéder, sans préavis, à une interruption momentanée des Services afin de remédier à sa cause dans les meilleurs délais. Le CLIENT ne pourra réclamer aucune indemnité ni mettre en jeu la responsabilité du PRESTATAIRE pour quelque cause que ce soit, notamment les interruptions ne peuvent être considérées comme du temps d’indisponibilité des Services.

Les interruptions susmentionnées ne déchargent pas le CLIENT de son obligation de payer l’intégralité du prix des Services.

Dans l’hypothèse où l’interruption résulte d’un manquement du CLIENT à ses obligations, elle intervient sans préjudice du droit du PRESTATAIRE de résilier le Contrat dans les conditions prévues à l’article « CLAUSE DE RESILIATION » ci-après et de demander réparation du préjudice subi.

3.3 Maintenance applicative et assistance aux utilisateurs

Le PRESTATAIRE assure la maintenance applicative et une assistance auprès des Utilisateurs du CLIENT selon les conditions stipulées à l'Annexe « Services et Applicatifs ».

4. Conditions Générales  d'utilisation

Les conditions d'utilisation des Applicatifs sont décrites dans les Conditions Générales d'Utilisation qui sont accessibles sur le site internet du PRESTATAIRE et via le lien ci-contre. Le CLIENT doit s'assurer de leur respect par les Utilisateurs.

5. Les données

5.1 Propriété sur les données

Le CLIENT est seul titulaire des droits sur les Données traitées dans le cadre des Services.

Le CLIENT concède, en tant que de besoin, au PRESTATAIRE et à ses sous-traitants une licence non exclusive et mondiale, gratuite et cessible lui permettant d'héberger, de mettre en cache, de copier et d'afficher les dites Données aux seules fins de l'exécution des Services et exclusivement en association ou à l'occasion de ceux-ci.

La présente licence prendra fin automatiquement à la cessation du Contrat, sauf nécessité de poursuivre l'hébergement des Données et leur traitement, notamment dans le cadre de la mise en œuvre des opérations de Réversibilité.

Le CLIENT déclare et garantit qu'il dispose de toutes les autorisations nécessaires à l'exploitation des Données dans le cadre des Services et qu'il peut en concéder librement licence dans les termes sus visés au PRESTATAIRE et à ses sous-traitants. Le CLIENT déclare et garantit en outre qu'en créant, installant ou téléchargeant les Données dans le cadre des Services, il n'excède aucun droit qui lui aurait éventuellement été concédé sur tout ou partie des Données et qu'il ne porte pas atteinte à des droits de tiers.

Dans le cadre des Services, le CLIENT peut décider, par l’intermédiaire d’un Utilisateur autorisé par lui, de donner un accès à tout ou partie de ses Données et par là même d’autoriser de manière sélective ou cumulative leur consultation, leur duplication, leur modification ou leur exploitation. Au terme de cette procédure, tous les Utilisateurs des Services du PRESTATAIRE auront accès à ses données, selon les conditions fixées par le CLIENT. Le CLIENT déclare dans ce cas renoncer à la propriété desdites données, sans que cela n’affecte en aucun cas son droit de propriété sur toutes ses autres Données traités dans le cadre des Services. 

5.2 Accès aux données

L'accès aux Données est réservé au seul CLIENT.

Toutefois, le PRESTATAIRE pourra également y accéder :

  • sur autorisation expresse du CLIENT et pour les seuls besoins liés aux Services ;
  • sans autorisation expresse du CLIENT si lurgence le requiert et que le CLIENT nest pas en mesure de répondre de façon immédiate ;
  • sans autorisation expresse du CLIENT en cas dattaque informatique subie par le PRESTATAIRE afin de mettre tout en œuvre pour maintenir les conditions de sécurité des Données du CLIENT.

Cet accès aux Données par le PRESTATAIRE ne pourra être que temporaire. Lors de l’accès aux Données, le PRESTATAIRE s'engage à mettre en œuvre toutes précautions utiles conformément à l'état de l'art pour en préserver la sécurité afin qu'elles ne soient pas, du fait du PRESTATAIRE, détournées, endommagées ou communiquées à des tiers non-autorisés. Le PRESTATAIRE s'engage à respecter et à faire respecter par son personnel et ses sous-traitants les obligations suivantes :

  • de nutiliser les Données qu’aux seules fins de lexécution du Contrat ;
  • de prendre toutes les mesures utiles conformément à l'état de l'art permettant d'éviter toute utilisation détournée et frauduleuse des Données du CLIENT; 
  • de ne conserver durablement aucune copie des documents et des supports de Données du CLIENT qui leur sont confiés, sauf celles strictement nécessaires à l'exécution des Services.

Le PRESTATAIRE devra veiller à ne plus permettre aucun accès aux Données par son personnel et ses sous-traitants dès que les raisons ayant justifié son intervention auront cessé.

Le CLIENT est informé et accepte que le PRESTATAIRE puisse accéder à ses Données et les transmettre sur réquisition d'une autorité administrative ou judiciaire habilitée à accéder aux Données.

5.3 Accessibilité et sécurité des données, données personnelles et données sensibles

Le CLIENT est seul responsable de la création, de la sélection, de la conception, de l'utilisation des Données par les Utilisateurs dans le cadre des Services. Il est également seul responsable de la collecte et du traitement des Données Personnelles et des Données Sensibles par les Utilisateurs. Lorsque la législation à laquelle le CLIENT est soumise impose de recueillir au préalable l'autorisation des personnes dont les Données Personnelles sont traitées ou que ladite législation met à la charge de la personne appelée à traiter ces Données Personnelles un ensemble d'obligations, il incombe au seul CLIENT et sous sa seule responsabilité de se conformer aux dispositions législatives applicables et d'obtenir les éventuelles autorisations préalables.

Le PRESTATAIRE utilise un moyen de cryptologie intégré dans le navigateur pour garantir le transfert sécurisé des informations et documents lors de l’utilisation des Services, notamment un chiffrement TLS Transport Layer Security avec certificat de sécurité. Cependant, le CLIENT reconnaît que le PRESTATAIRE n'a aucun contrôle sur le transfert des Données via les réseaux de télécommunication publics utilisés par le CLIENT pour accéder aux Services et notamment le réseau Internet. Le CLIENT reconnaît et accepte que le PRESTATAIRE ne puisse garantir la confidentialité des Données lors du transfert de celles-ci sur les dits réseaux publics. En conséquence, le PRESTATAIRE ne pourra en aucun cas voir sa responsabilité engagée en cas, notamment, de détournement, de captation, de corruption des Données, ou de tout autre évènement susceptible d'affecter celles-ci, survenant à l'occasion de leur transfert sur les réseaux de télécommunication publics.

Les données à caractères personnelles nécessaires à l’utilisation du Service, à savoir notamment l’adresse e-mail, le nom et le prénom de l’Utilisateur sont traitées conformément à la loi Informatique et liberté et au règlement général à la protection des données. L’annexe ci-dessous relative à la Protection des données personnelles constitue un contrat entre le PRESTATAIRE et le CLIENT qui encadre le traitement des données personnelles des Utilisateurs par le PRESTATAIRE en sa qualité de sous-traitant d’une part, et de responsable de traitement d’autre part.

6. Conditions financières – facturation – délais de paiement

Les conditions financières du Contrat sont stipulées dans les CPV.

Les CPV indiquent le prix de l’abonnement aux Services incluant par exemple les frais de paramétrage et d’initialisation, le nombre d’heures de formations associées, la volumétrie des Données du CLIENT, la gamme de service, le nombre d’utilisateurs et le nombre d’Espaces collaboratifs.

Le PRESTATAIRE propose différents types de tarifs en fonction du type d’abonnement aux Services, à savoir :

  • un abonnement annuel (12 mois) aux Services au prix annuel fixé dans les CPV et facturé à terme à échoir par le PRESTATAIRE en une seule fois au moment de la signature des CPV ;
  • un abonnement triennal (36 mois) aux Services au prix annuel fixé dans les CPV et facturé à terme à échoir par le PRESTATAIRE en une seule fois pour les 3 années, au moment de la signature des CPV ;
  • un abonnement triennal (36 mois) aux Services au prix annuel fixé dans les CPV et facturé à terme à échoir à la date de signature des CPV et aux deux prochaines dates anniversaires de signature des CPV. Le CLIENT accepte qu’à chaque date anniversaire de signature des CPV, le prix forfaitaire annuel sera augmenté en fonction de la variation à la hausse de l’indice Syntec. L’indice Syntec de référence de départ est celui en vigueur à la date de signature des CPV.

Le CLIENT accepte que le prix de l’abonnement auquel il a souscrit dans les CPV augmente en cas d’augmentation par le CLIENT du niveau des Services en cours de Contrat (ex : augmentation du nombre d’Espaces collaboratifs, du nombre d’utilisateurs, du volume de données stockées, …). Dans cette hypothèse, le CLIENT et le PRESTATAIRE signeront de nouvelles CPV.

Les factures sont adressées au CLIENT par e-mail ou par courrier. Elles sont payables dans un délai de 30 jours à compter de la date de facture, par chèque, par virement ou par mandat administratif.

Le défaut de paiement, y compris le paiement partiel, d’une facture du PRESTATAIRE dans le délai mentionné ci-dessus entraînera de plein droit l’application de pénalités de retard et d’une indemnité forfaitaire pour frais de recouvrement de quarante (40) euros, sans préjudice de la possibilité pour le PRESTATAIRE de demander, sur justification, une indemnisation complémentaire lorsque les frais bancaires, les frais de gestion supplémentaires, les frais de recouvrement exposés (suivi du recouvrement, courriers et frais de relance, représentation des rejets de prélèvement bancaire) sont supérieurs au montant de ladite indemnité forfaitaire. Le taux des pénalités de retard sera égal au taux d’intérêt appliqué par la Banque Centrale Européenne à son opération de refinancement la plus récente majoré de dix (10) points de pourcentage. Les pénalités de retard sont exigibles sans qu’un rappel soit nécessaire dès le jour suivant la date de règlement inscrite sur la facture.

En cas de défaut de paiement, y compris de paiement partiel, dans le délai mentionné ci-dessus, le PRESTATAIRE adressera au CLIENT un courrier de mise en demeure adressé en recommandé avec accusé de réception ou par tout autre moyen, notamment électronique, lui enjoignant de procéder au paiement dans le délai de quinze (15) jours à compter de la réception de ladite mise en demeure. Dans l'hypothèse où passé ce délai, le CLIENT ne se serait pas acquitté de la totalité des sommes dues au principal, intérêts et frais, le PRESTATAIRE pourra suspendre immédiatement l'accès aux Services et sera autorisé à résilier, par courrier adressé en recommandé avec accusé de réception ou par tout autre moyen, notamment électronique, le Contrat, de plein droit, sans préavis ni formalité judiciaire, sans préjudice du droit de recouvrer les sommes dues et tous dommages et intérêts éventuels.

Tout désaccord concernant la facturation des Services rendus doit être notifié auprès du PRESTATAIRE dans le délai d’un mois à compter de la date de facture. A défaut et sans préjudice de la possibilité pour le CLIENT de contester ultérieurement la facturation, le CLIENT est tenu de s’acquitter des factures impayées contestées.

7. Garanties

Le PRESTATAIRE garantit qu'il dispose de tous les droits de propriété intellectuelle permettant de conclure le Contrat et qu'à ce titre, il garantit que les Services fournis en exécution du Contrat ne portent pas atteinte à des droits de tiers et ne constituent pas une contrefaçon d'une œuvre préexistante.

Le PRESTATAIRE garantit le CLIENT contre toute action en contrefaçon qui pourrait être intentée à son encontre par toute personne physique ou morale se prévalant d'un droit de propriété intellectuelle portant sur les Services.

Le PRESTATAIRE ne fait aucune autre garantie expresse ou implicite relativement aux Services, y compris, notamment, toute garantie implicite de qualité marchande ou d'adéquation des Applicatifs à un objectif particulier. Le PRESTATAIRE ne garantit pas les résultats des Services, ni ne garantit que les fonctionnalités des Services satisfassent les exigences du CLIENT. Le CLIENT est seul responsable de l’utilisation des Services et Applicatifs mis à sa disposition par le PRESTATAIRE et demeure responsable de l'adéquation des services commandés à ses besoins.

Les Parties reconnaissent qu’une application numérique peut contenir des erreurs et que toutes les erreurs ne sont pas économiquement rectifiables ou qu'il n'est pas toujours nécessaire de les corriger. Le PRESTATAIRE ne garantit pas en conséquence que l'ensemble des défaillances ou erreurs des Applicatifs sera corrigé.

8. Responsabilité

La responsabilité de chacune des Parties ne peut être recherchée que pour l’indemnisation des préjudices directs, lesquels n’incluent pas les préjudices dont la survenance n’est pas exclusivement liée à la mauvaise exécution ou l’inexécution du Contrat.

La responsabilité du PRESTATAIRE ne pourra en aucun cas être recherchée en cas :

  • d'utilisation des Services d'une façon non-conforme aux conditions prévues au Contrat, notamment d’une utilisation non prévue dans la documentation utilisateur ou d'une utilisation non expressément autorisée par le Contrat ;
  • de modification de tout ou partie des Applicatifs ou des informations accessibles via les Services non effectuée par le PRESTATAIRE ou par l'un des sous-traitants ;
  • d’une utilisation des Services dans un environnement ou selon une configuration ne respectant pas les prérequis techniques du PRESTATAIRE, ou en lien avec des programmes ou données de tiers non expressément avalisés par le PRESTATAIRE ;
  • de survenance de tout dommage qui résulterait d'une faute ou d'une négligence du CLIENT, ou que celui-ci aurait pu éviter en faisant appel aux conseils du PRESTATAIRE ;
  • d’une inexécution, défaillance, dysfonctionnement ou indisponibilité des Services résultant du CLIENT ou d’un tiers (à l’exclusion des sous-traitants du PRESTATAIRE) ou d’un manquement du CLIENT à ses obligations ;
  • de la perte, divulgation ou utilisation illicite ou frauduleuse des moyens d’authentification des Utilisateurs du fait du CLIENT ou de tiers ;
  • de la suspension ou résiliation des Services opérée dans les conditions de l’article 6 des présentes CGV ;
  • d'utilisation en lien avec les Services de programmes non fournis ou avalisés par le PRESTATAIRE et susceptibles d'affecter les Services ou les Données du CLIENT ;
  • d’incidents de sécurité liés à l’utilisation d’Internet.

Dans l’hypothèse où la responsabilité du PRESTATAIRE serait engagée par suite de l’inexécution ou de mauvaise exécution du Contrat et en cas de dommage survenu au CLIENT, le montant total cumulé de l’indemnisation pouvant être mis à la charge du PRESTATAIRE est plafonné, tous manquements confondus, 1) au montant hors taxes des sommes acquittées par le CLIENT durant les 12 mois précédant le fait générateur de responsabilité du PRESTATAIRE ou 2) au préjudice direct subi par le CLIENT s’il est inférieur.

Sous peine de forclusion, le délai d’action contre le PRESTATAIRE ne pourra excéder 1 an à compter de la date de la réalisation du dommage.

Le PRESTATAIRE ne pourra en aucun cas être tenu pour responsable des préjudices indirects subits par le CLIENT qui pourraient survenir du fait ou à l'occasion de l'exécution du présent Contrat et de ses suites. Par dommages indirects, on entend notamment, sans que cette liste soit limitative, les pertes de gains ou de profits, pertes de données, pertes de chance, dommages commerciaux, les conséquences de plaintes ou réclamations de tiers contre le CLIENT, nonobstant le fait que le PRESTATAIRE aurait été averti de l'éventualité de leur survenance, à l'exception toutefois des dispositions de l'article 8 du Contrat relatives aux garanties accordées par le PRESTATAIRE.

9. Force majeure

Aucune des Parties ne peut voir sa responsabilité engagée sur le fondement d'une défaillance résultant directement ou non d'événements non prévisibles et ayant les caractéristiques de la force majeure telle que définie par l'article 1218 du code civil. Les Parties déclarent que la force majeure inclut notamment les grèves y compris la grève du personnel d'un sous-traitant du PRESTATAIRE, les actes de vandalisme, de guerre ou de menace de guerre, le sabotage, les actes terroristes, les incendies, les épidémies, les tremblements de terre, les inondations et explosions, ainsi que les coupures d'électricité en dehors du contrôle de la Partie affectée.

Toutefois, pour pouvoir se prévaloir de la présente disposition, la Partie qui se trouve empêchée d'exécuter ses obligations doit en informer l'autre Partie dans les plus brefs délais, par écrit, en précisant les circonstances et la durée prévisible de cette situation, et la tenir régulièrement informée de l'évolution de la situation. Si, malgré les efforts de la Partie défaillante, sa défaillance dure plus de trente (30) jours consécutifs, l'autre Partie peut de plein droit résilier toute ou partie des Services impactés.

10. Clause de confidentialité

Le CLIENT et le PRESTATAIRE s'engagent à conserver confidentielles les informations et documents concernant l'autre Partie, de quelque nature qu'ils soient, financiers, techniques, sociaux ou commerciaux, qui ont pu être accessibles au cours de l'exécution du Contrat.

La présente stipulation ne fait pas obstacle à ce que le PRESTATAIRE puisse faire état dans ses publicités ou documents commerciaux ou offres commerciales, à titre de référence, de toutes les formules d’Abonnements souscrites en mentionnant la dénomination sociale, le logo, la marque du CLIENT, sous condition d’autorisation explicite de ce dernier par tout moyen.

Ces obligations survivront à toute résiliation, expiration ou rétractation du Contrat.

Nonobstant ce qui précède, chacune des Parties se réserve la possibilité de divulguer des informations reçues de l'autre Partie dans la limite strictement nécessaire à la défense de ses droits, étant précisé que, dans ce cas, les informations confidentielles de l'autre Partie sont conservées le temps légal nécessaire à l'administration de la preuve et ne peuvent être divulguées qu'aux seules personnes ayant besoin d'en connaître dans le cadre de l'action ou de la procédure en cause (magistrats, conseils, etc…) lesquelles sont soumises au secret professionnel ou, à défaut, liées par un accord de confidentialité ; et à la requête d'une autorité administrative ou judiciaire compétente, étant précisé qu'en pareil cas, la divulgation sera strictement limitée à la demande de ladite autorité, et que, sous réserve de toute disposition légale ou injonction contraire, la Partie récipiendaire informe l'autre Partie de ladite enquête.

11. Assurances

Chacune des Parties s’engage à souscrire, auprès d'un organisme notoirement solvable, une assurance responsabilité civile couvrant l’ensemble des dommages susceptibles de lui être imputés, et s’engage à maintenir cette assurance (ou toute autre assurance équivalente) pendant toute la durée du Contrat. Les Parties s’engagent à donner tout justificatif à l’autre Partie, si celle-ci lui en fait la demande expresse.

12. Clause de résiliation

En cas de manquement par l’une des Parties à ses obligations contractuelles, le Contrat pourra être résilié de plein droit par l’autre Partie quinze (15) jours après l’envoi d’un courrier de mise en demeure adressé en recommandé avec avis de réception ou par tout autre moyen, notamment par voie électronique, resté sans effet. La mise en demeure indiquera la ou les défaillances constatées. La résiliation pour manquement est sans préjudice des dommages et intérêts éventuels pouvant être réclamés à la Partie défaillante dans le respect de l’article 9 des présentes CGV.

Dans l’hypothèse d’une résiliation, le CLIENT cessera d’utiliser tous codes d’accès aux Services et aux Applicatifs. Les prestations de réversibilité seront mises en œuvre par le PRESTATAIRE ou ses sous-traitants conformément à l’article 14.

13. Clause de réversibilité

À tout moment en cours d'exécution du Contrat, à la demande du CLIENT ainsi qu'en cas d'expiration ou de résiliation de tout ou partie du Contrat pour quelque motif que ce soit, le PRESTATAIRE s'engage à assurer les opérations qui permettront au CLIENT de reprendre, ou de faire reprendre par un tiers, les Données dans les meilleures conditions afin de le faire migrer vers tout autre système au choix du CLIENT.

13.1 Définition des opération des réversibilité

Les opérations de réversibilité comprendront notamment :

  • la restitution de l'ensemble des Données, fichiers ou autres éléments du CLIENT et résultant notamment de la mise en œuvre des Services. La restitution s'effectuera sur supports magnétiques, optiques ou autres. Le PRESTATAIRE s'engage à ne conserver aucune copie des programmes, documentation, Données, restitués au CLIENT et à ne plus les utiliser pour quelque raison que ce soit, à l’exception des Données, fichiers ou autres éléments pour lesquels le CLIENT a expressément donné son accord de publicité selon les modalités fixées à l’article 6.1 du Contrat ;
  • la communication au CLIENT de toutes les informations nécessaires à la mise en œuvre la Réversibilité.

 

13.2 Délai de réversibilité

Les opérations de réversibilité se dérouleront pendant le délai nécessaire à la réalisation de la réversibilité, y compris après expiration ou rupture du Contrat si nécessaire, et ne pourront excéder 2 mois à compter de l’expiration ou de la résiliation du Contrat.

13.3 Conditions financières de la réversibilité

Le prix des opérations nécessaires à la mise en œuvre de la réversibilité est mentionné dans les CPV.

Les prestations d'assistance technique auprès des tiers resteront à la charge exclusive du PRESTATAIRE si le Contrat a été résilié en raison d'un manquement de ce dernier. Dans toute autre hypothèse, cette assistance technique donnera lieu à l'établissement d'un devis par le PRESTATAIRE, sur la base des prix de journée par profil d'intervenants mentionnés dans les CPV.

14. Loi applicable et juridictions compétentes

La loi applicable au Contrat en toutes ses dispositions et conséquences est la loi française.

Les juridictions compétentes en cas de litige seront celles du ressort de la Cour d’appel de Paris.

15. Dispositions diverses

Dans l'hypothèse où une ou plusieurs clauses viendraient à être déclarées nulles par une décision de justice ou s'avéreraient impossible à mettre en œuvre, la validité des autres dispositions ne sera pas affectée et les Parties s'engagent à négocier de bonne foi une disposition de remplacement.

Les titres et sous-titres figurant dans le Contrat sont inclus à titre de pure commodité. De convention expresse entre les Parties, ces titres et sous-titres ne pourront en aucun cas servir à interpréter quelque disposition que ce soit du Contrat.

Le fait pour une Partie de tolérer une inexécution ou une exécution imparfaite du Contrat ou plus généralement de tolérer tout acte, abstention ou omission de l'autre Partie non conforme aux dispositions du Contrat ne saurait conférer un droit quelconque à la Partie qui bénéficie d'une telle tolérance, ni ne peut être interprété comme valant renonciation par la Partie qui tolère un tel acte à se prévaloir ultérieurement de l’une quelconque desdites dispositions du Contrat.

Le Contrat est constitué des présentes CGV, de lAnnexe « Services et Applicatifs », des CPV conclues entre le PRESTATAIRE et le CLIENT et des Conditions Générales d’Utilisation des Services, à l’exclusion des conditions générales du CLIENT. Le Contrat exprime l'intégralité de l'accord des Parties et se substitue à tout accord antérieur, écrit ou oral, explicite et implicite. Il constitue la seule volonté des Parties.

Le PRESTATAIRE peut modifier les présentes CGV à tout moment et de plein droit. Ces modifications seront applicables à tout renouvellement du Contrat.

Les dispositions du Contrat ne peuvent être interprétées comme étant constitutives d'un mandat, d'une joint-venture, d'une société créée de fait, d'une société en participation ou d'une quelconque autre forme de groupement, d'entreprise commune ou d'association. Chaque Partie demeure entièrement indépendante, maître de la gestion de ses affaires, et responsable de l'ensemble de ses actes, et assume seule l'intégralité des risques liés à son activité.

Sous réserve des autres modes de communication (notamment par courriel) et des autres destinataires prévus au Contrat, toutes les notifications et mises en demeure prévues au Contrat sont réputées avoir été valablement délivrées si elles sont adressées :

  • A INTERSTIS à l’adresse suivante : 11 rue Jean Jaurès 71 200 Le Creusot
  • Au CLIENT à l’adresse de son siège social indiquée dans les CPV.

Tout changement d'adresse de l’une des Parties devra être notifié à l’autre Partie par courrier adressé en recommandé avec accusé de réception dans les plus brefs délais. En cas de changement d'adresse de l’une des Parties non notifié à l’autre Partie, toute notification ou mise en demeure effectuée aux adresses mentionnées au Contrat ou à la dernière adresse ayant fait l'objet d'une notification sera réputée valable, sauf s'il était prouvé que la Partie auteur de la notification ou mise en demeure avait connaissance de l'adresse effective de la Partie à laquelle elle adresse sa notification/mise en demeure.

16 . Adresse de communication électronique

Le PRESTATAIRE est joignable à l’adresse e-mail suivante : contact@interstis.fr

Le CLIENT est joignable à l’adresse e-mail indiquée dans les CPV.

Annexe services et applicatifs

1. Présentation des services Interstis

Le PRESTATAIRE met à la disposition du CLIENT un accès illimité à la solution collaborative Interstis pour le nombre d’Espaces collaboratifs, le nombre d’utilisateurs et pour le volume de données et la durée prévus dans les Conditions Particulières de Vente. Par accès illimité, on entend pour l’Utilisateur :

  • Une durée de connexion illimitée.
  • Un nombre d’accès illimité aux Espaces collaboratifs.
  • Un accès illimité aux outils collaboratifs.

Les services sont mis à disposition du CLIENT par un logiciel accessible par le réseau internet à l’adresse suivante : https://plateforme.interstis.fr

Ils permettent d'éditer, de partager des informations, d'animer des groupes de travail et de piloter des projets intra ou inter-structures. Les Services accessibles sur la plateforme « Interstis » fournie par le PRESTATAIRE permettent à chaque Utilisateur d’accéder à une plateforme numérique composée d’une part de services numériques immédiatement accessible et d’autre part d’un nombre illimité d’Espaces collaboratifs créés par les Utilisateurs autorisés par le CLIENT ou par tout autre client ayant un Nom de domaine sur Interstis. Les Services permettent notamment de créer, de personnaliser et d’administrer des Espaces collaboratifs sécurisés, d’inviter des Utilisateurs à collaborer, de sauvegarder, d’éditer, de modifier, d’associer entre elles, de centraliser et de classer électroniquement des informations, de gérer des tâches, d’organiser des événements, d’éditer des formulaires, de communiquer par messagerie instantanée ou par visio-conférence.

Les services proposés par Interstis comprennent aussi une messagerie permettant d’envoyer et recevoir des courriels à partir d’une adresse de messagerie.

2. Une suite collaborative

Les Services Interstis favorisent les collaborations entre utilisateurs appartenant à des organismes différents. Ils rassemblent sur une plateforme numérique mutualisée tous les Utilisateurs de tous les clients abonnés aux Services du PRESTATAIRE. Le système de gestion des droits des utilisateurs fourni par Interstis permet au CLIENT d’administrer librement ses Espaces collaboratifs. Le CLIENT reconnaît qu’il est le seul responsable de la confidentialité et de la publicité de ses données sur Interstis.

3. Sécurité et confidentialité des données

Parallèlement, les Services « Interstis » garantissent au CLIENT un haut niveau de confidentialité et de sécurité des données échangées sur les Espaces collaboratifs. Les données stockées sur Interstis sont cryptées par une clé unique et différente pour chaque Espace collaboratif.

Seuls les Utilisateurs membres d'un Espace collaboratif ont accès aux données et informations échangées par les Utilisateurs de cet Espace collaboratif. A l’intérieur de l’Espace collaboratif, le caractère confidentiel et modifiable d’une information est déterminé uniquement par l’animateur de l’espace, ou conjointement par l’animateur et par l’Utilisateur étant l’auteur de l’information. Cette modulation est fixée en combinant, d’une part, un droit d'accès et, d’autre part, un ou plusieurs droits d'action :

  • Droit d'accès à une information :
  • Accès ouvert à tous les membres d’un Espace collaboratif.
  • Accès restreint à un ou plusieurs membres d’un Espace collaboratif.
  • Accès restreint au seul auteur.
  • Droit d'action sur l’information :
  • Supprimer.
  • Modifier.
  • Télécharger.
  • Répondre.
  • Partager.
  • Consulter.
  • Aucun droit.

Dans le cadre du service de messagerie, Interstis protège la confidentialité des données échangées en attribuant aux clients des comptes de messagerie professionnels pour ses Utilisateurs. Ce service est administré par le CLIENT et permet de protéger la messagerie par un identifiant, un mot de passe et éventuellement un troisième facteur d’authentification.

4. L’espace administration

Chaque CLIENT dispose d’un espace d’administration dédié lui permettant d’attribuer aux Utilisateurs un droit de création et d’animation d’un ou plusieurs espaces collaboratifs rattachés à son Nom de domaine. Dans cet espace, le CLIENT dispose d’un accès à toutes les données partagées par ses Utilisateurs sur ses Espaces collaboratifs.

5. Les espaces collaboratifs

Tout Utilisateur autorisé par le CLIENT peut créer un Espace collaboratif selon la procédure prévue par le PRESTATAIRE soit :

  • Étape 1 : Choix du Titre et description de l'Espace collaboratif, de la couleur du Bandeau et du Logo.
  • Étape 2 : Choix des Utilisateurs invités dans l'Espace collaboratif.
  • Étape 3 : Synthèse et validation de la création.

Un Espace collaboratif peut contenir le volume de données souhaité à condition que la somme des données stockées dans les Espaces collaboratifs rattachés au Nom de domaine du CLIENT n’excède pas le volume maximum prévu dans les Conditions Particulières de Vente.

6. Les outils collaboratifs

La Suite collaborative d’Interstis est dotés d'outils d'édition de contenus, de partage de l’information, de communication synchrone et asynchrone et de gestion documentaire dont la disponibilité dépend de l'abonnement souscrit par le CLIENT. La liste et le fonctionnement de ces Applicatifs évoluent en permanence afin d'offrir au CLIENT un service toujours plus performant. Ces évolutions sont apportées à tout moment par le PRESTATAIRE et à sa discrétion. Chaque modification fera l'objet d'une notification sur Interstis au moment de la connexion de l’Utilisateur. Le Contrat ne confère pas au CLIENT un droit au maintien d'un Applicatif ou d'un mode de fonctionnement de l'Applicatif particulier.

Les outils collaboratifs inclus dans la Suite collaborative sont tenus à jours sur la documentation technique disponible à l’adresse suivante : https://interstis.zendesk.com/hc/fr/

L’accès aux différentes fonctionnalités est fixé dans les Conditions Particulières de Vente. 

7. Pré-requis techniques

Le PRESTATAIRE garantit un fonctionnement optimal des Services sous réserve que l’Utilisateur soit équipé d’un matériel informatique et d’une connexion internet répondant à la configuration minimale suivante :

  • Navigateur internet :
  • Edge ;
  • Firefox version min 78.0 ;
  • Google Crome 38.0.21 ;
  • Safari.
  • Un terminal informatique (ordinateur ou tablette) : Processeur de 1 GHz et 2Go de RAM.
  • Une connexion internet d’un débit minimal de 5Mbps.

8. Maintenance et assistance

8.1 Niveau de priorité de l’incident

Incidents mineurs

Incidents considérés comme mineur : 

  • Un bug applicatif qui modifie l'affichage d'informations relatives à l'utilisation des services.
  • Une indisponibilité partielle du service concerné causée par un évènement ponctuel et temporaire, dont il est possible de restaurer immédiatement la pleine disponibilité du service.
  • Une indisponibilité partielle d'une ou plusieurs fonctionnalités ayant un impact faible sur le service concerné.

Incidents majeurs

Incidents considérés comme majeur : 

  • Une indisponibilité partielle du service pendant plus de 3 heure ayant un impact fort sur le service concerné.
  • Une indisponibilité totale d'une ou plusieurs fonctionnalités dégradant significativement le service concerné.
  • Un arrêt total du service concerné (non causé par une activité planifiée tel que la maintenance ou des événements dont INTERSTIS PARTENAIRES n'a pas la maîtrise tel que des dommages dus à un incendie).

8.2 Support et interventions

Le PRESTATAIRE prend en charge la maintenance corrective des Services et Applicatifs. En cas d’anomalie sur un Applicatif ou en cas de difficultés d’accès aux Services constatés par un Utilisateur, le PRESTATAIRE fournit un service d’Assistance dans les conditions définies ci-dessous :

  1. Le CLIENT devra prioritairement poser ses questions support@interstis.fr à partir du service d’aide disponible sur le service ou via l’adresse support@interstis.fr
  2. A partir du moment où le PRESTATAIRE a pris connaissance de l'incident et selon la priorité de celui-ci, le PRESATATAIRE s'engage à y répondre et à le résoudre dans les temps suivants :

Priorité d'incident

Plages
 horaires

Temps
 de réponse

Temps de résolution

Mineur

Du lundi au vendredi de 9h à 18h hors jours férié

1 jour ouvré

3 jours ouvrés après la  réponse initiale

Majeur

Tous les jours de 9h à 18h

Au plus vite dans un délai maximum de 1 jour ouvré

24h après la réponse initiale

Le PRESTATAIRE est dégagé de son obligation de réponse dans les cas suivants :

  • Refus du CLIENT de collaborer avec le Prestataire dans la résolution des anomalies et notamment de répondre aux questions et demandes de renseignement ;
  • Utilisation des Services et Applicatifs de manière non conforme à leur destination ou à leur documentation ;
  • Modification non autorisée des Solutions par le CLIENT ou par un tiers ;
  • Manquement du CLIENT à ses obligations au titre du Contrat ;
  • Implantation de tous progiciels, logiciels, système d'exploitation et navigateurs non compatibles avec les Services applicatifs ;
  • Défaillance des réseaux de communication électronique ;
  • Acte volontaire de dégradation, malveillance, sabotage ;
  • Détérioration due à un cas de force majeure ou à une mauvaise utilisation des Services applicatifs

9. Hébergement et infogérance

L’hébergement est fourni par 3DS Outscale.

Hébergement sécurisé : La plateforme est hébergée chez 3DS Outscale filiale Cloud de Dassault Système. L’application est déployée sur des machines virtuelles située exclusivement en France (Pantin (93) et Magny-les-Hameaux (78)). 3DS Outscale a élaboré une politique de sécurité conforme aux prescriptions de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). La gestion des sauvegardes s’effectue quotidiennement Nous assurons 30 jours glissant de rétention afin de toujours garantir au moins 4 semaines de sauvegarde.

Pour proposer des services Cloud d’hyper-confiance, 3DS Outscale satisfait les plus hautes exigences du marché, comme la qualification SecNumCloud délivrée par l’ANSSI en 2019. Ainsi, 3DS OUTSCALE est devenu le premier fournisseur de Cloud à proposer des services d’infrastructure hautement sécurisés. Cet engagement est également porté par des services et une organisation intégralement certifiée sur la sécurité et le management de l’information dans le Cloud (ISO 27001-27017-27018), et sur l’hébergement de Données de Santé (HDS).

L’installation et l’optimisation du fonctionnement de l’application sur les infrastructures virtuelles (infogérance) est assurée par le PRESTATAIRE via son partenaire la société Satelliz.
 

 

Annexe relative au traitement des données personnelles (RGPD)

Les mots qui commencent par une majuscule et qui ne sont pas définis dans l’annexe relative au traitement des données personnelles ont le sens qui leur est donné dans les Conditions Générales de Vente et les Conditions Particulières de Vente applicables entre les Parties.

1. Définitions spécifiques

« Données Personnelles » : désigne toute donnée permettant d’identifier directement ou indirectement une personne ; identification directe ou indirecte notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement », toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« Responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

« Sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données Personnelles pour le compte du responsable du traitement.

« Sous-traitant ultérieur » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données Personnelles sur sollicitation du sous-traitant pour le compte du responsable du traitement.

« Violation de Données Personnelles », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

« Lois et Réglementations Applicables en matière de Données Personnelles » : désigne toutes les lois et réglementations en relation avec la protection des Données personnelles et la vie privée, notamment la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et le Règlement européen n° 2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données » (RGPD). Les termes recouvrent aussi l’ensemble des référentiels ou normes dont les parties se prévalent sur leurs supports de communication ou auxquels ces derniers sont assujettis soit en raison de leur domaine d’activité soit en raison de la nature des données traitées.

« Autorités de contrôle » : désigne toute autorité publique ayant vocation à régir les domaines de la protection des données et des systèmes d’information. Cette notion inclut à minima la Commission Nationale Informatique et Libertés ( CNIL) et l’Agence Nationale de la Sécurité des Systèmes d’Information  ( ANSSI).

« Abonnement » : offre technique et financière choisie par le client pour une période définie dans les CPV.

« Applicatifs » : ensemble des programmes et solutions logicielles mis à disposition du client en mode SaaS dans le cadre des Services et listés dans l’Annexe « Services et Applicatifs » jointe aux présentes CGV.

« Données » : ensemble des informations et données du client générées par la mise en œuvre des Applicatifs ou traitées par ceux-ci.

« Identifiant » : désigne le terme spécifique par lequel chaque Utilisateur s'identifiera pour se connecter aux Services. L'Identifiant sera toujours accompagné d'un mot de passe propre à l'Utilisateur.

« Services » : ensemble des services et solutions logicielles sélectionnés par le CLIENT dans les CPV. L’ensemble des services proposés par le PRESTATAIRE sont listés dans l’Annexe « Services et Applicatifs » jointe aux présentes CGV.

« Utilisateur »: toute personne physique possédant un compte sur Interstis conformément aux Conditions Générales d’Utilisation.

2. Principes

Dans le cadre de leurs relations contractuelles, INTERSTIS PARTENAIRES, société par actions simplifiée inscrite au Registre du Commerce et des Sociétés de Chalon-sur-Saône sous le numéro 802 523 936, dont le siège social se situe au 11 rue Jean Jaurès 71200 Le Creusot (ci-après le « PRESTATAIRE »), et le client (ci-après le « CLIENT ») s’engagent à respecter les Lois et Réglementations Applicables en matière de Données Personnelles.

Dans le cadre de l’exécution des services et applicatifs figurant en Annexe Services et applicatifs de ses CGV, le PRESTATAIRE intervient en qualité de Sous-traitant et traite les Données Personnelles uniquement sur instruction du CLIENT qui est Responsable du Traitement.

Le PRESTATAIRE intervient en qualité de Responsable de traitement des Données Personnelles lorsque le CLIENT utilise les Services pendant la période d’essai octroyée par le PRESTATAIRE. Le PRESTATAIRE devient Sous-traitant lorsque le CLIENT souscrit aux Services et Applicatifs du PRESTATAIRE et le Client devient alors Responsable du Traitement.

Par ailleurs, dans le cadre de l’exécution du Contrat, le PRESTATAIRE traite en qualité de Responsable de traitement des Données Personnelles relatives au CLIENT afin notamment de gérer sa relation avec le CLIENT (gestion des activités commerciales, information et support client, données de connexion et d’identification des utilisateurs, gestion des réclamations, facturation, tenue de la comptabilité, gestion des paiements, recouvrements, amélioration du process de commande, programme de fidélité, etc.) et fournir les Services.

3. Description générale des Traitements de Données Personnelles et finalité(s)

La nature des opérations réalisées sur les Données Personnelles par le PRESTATAIRE en sa qualité de Sous-traitant et de Responsable de traitement a pour finalité la mise à disposition d’accès à des espaces collaboratifs permettant le partage d’informations, l’animation de groupes de travail et le pilotage de projets.

Les catégories de Données Personnelles susceptibles d’être traitées sont :

  • Les données d’identification ;
  • Les données d’ordre professionnel : Documents de travail, formulaires, etc.
  • Les données relatives à la vie personnelle ;
  • Les données de connexion ;
  • Les données économiques et financières ;

Les catégories de personnes concernées sont :

  • Les agents de la collectivité ;
  • Les usagers ;
  • Les administrés ;
  • Les élus locaux ;
  • Les partenaires ;

4. Durée du traitement et effacement ou restitution des données

Le traitement par le PRESTATAIRE en sa qualité de Sous-traitant et de Responsable de traitement n’a lieu que pendant la durée de l'accord de traitement augmentée de 12 mois.

La suppression des données sera réalisée par le Sous-traitant 12 mois après la fin de relation contractuelle.

5. Obligations du Sous-traitant vis-à-vis du Responsable de traitement

Pour l’exécution de sa mission, le Sous-traitant s'engage à :

  • Traiter les Données Personnelles uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
  • Traiter les données conformément aux instructions documentées données par le Responsable de traitement, à moins que le Sous-traitant ne soit tenu de procéder au traitement des données personnelles en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Le Responsable de traitement et le Sous-traitant peuvent convenir ultérieurement, et d’un commun accord, de la mise en place de traitement de données personnelles supplémentaires. Ces nouvelles instructions devront toujours être documentées. Le Responsable de traitement ne peut pas modifier unilatéralement la liste des données personnelles traitées par le Sous-traitant Si le Sous-traitant considère qu’une instruction constitue une violation du Règlement Européen sur la Protection des Données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relatives à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
  • Garantir l’intégrité et la confidentialité des Données Personnelles traitées ;
  • Veiller à ce que les personnes autorisées à traiter les Données Personnelles soient soumises à une obligation appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des Données Personnelles 
  • Prendre en compte, s’agissant de ses services, les principes de protection des Données Personnelles dès la conception et de protection des Données Personnelles par défaut.
  • Informer le Responsable de traitement, préalablement à la mise en œuvre du traitement,  de tout transfert de données en dehors du territoire de l’union, notamment l’exécution du présent contrat au sein de locaux ou de filiales situés physiquement en dehors du territoire de l’Union européenne.
  • Sous-traitance ultérieure :
     Pendant toute la durée du traitement, le Responsable de traitement autorise le Sous-traitant à faire appel à la société     Satelliz, société par Actions Simplifiée au capital de 100.000 euros enregistrée au RCS de Versailles sous le numéro 524 897 402 dont le siège sociale est situé 5, rue du Chant des Oiseaux 78 360 MONTESSON - FRANCE, pour mener des activités de traitement des données personnelles dans le cadre de l’hébergement du service et des données sur Interstis de type :
  • Sauvegarde, archivage de systèmes et/ou de fichiers ;
  • Copie, déplacement, suppression de systèmes et/ou de fichiers ;
  • Toute autre opération technique ponctuelle pour l’optimisation et la mise à jour de ses systèmes et/ou de ses fichiers.

Le Sous-traitant peut faire appel à un autre sous-traitant dit « Sous-traitant ultérieur » pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement :

  • les activités de traitement sous-traitées,
  • l’identité et les coordonnées du sous-traitant ultérieur recruté
  • la durée de la sous-traitance ultérieure

Le Responsable de traitement dispose d’un délai maximum de 15 jours à compter de la date de réception de cette information pour présenter ses objections. La sous-traitance ultérieure ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection à l’issue du délai qui lui est imparti.

Dans le cas spécifique de sous-traitance ultérieure impliquant un transfert de données vers un pays situé en dehors de l’Union européenne, le Sous-traitant s’engage à demander l’accord préalable et exprès du Responsable du traitement et à fournir les garanties appropriées dans le cadre de ce transfert, ainsi que le modèle d’information « Informatique et Libertés » diffusé auprès des personnes concernées.

Lorsque le Sous-traitant recrute un Sous-traitant ultérieur, il le fait au moyen d’un contrat qui impose au Sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au Sous-traitant en vertu des présentes clauses. Le Sous-traitant veille à ce que le Sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses, de la Loi Informatique et libertés et du règlement (UE) 2016/679.

À la demande du Responsable du traitement, le Sous-traitant lui fournit une copie du contrat conclu avec le Sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le Sous-traitant peut expurger le texte du contrat avant d’en diffuser une copie.

Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées dans le respect des exigences du Règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement des manquements constatés.

Le Sous-traitant convient avec le Sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le Sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le Responsable du traitement a le droit de résilier le contrat conclu avec le Sous-traitant ultérieur et de donner instruction au Sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

5.1 Droit des personnes concernées

L’information des personnes est assurée à titre principal par le Responsable de traitement. Toutefois, le Sous-traitant peut être amené, selon les modalités de collecte des données, à fournir aux personnes concernées l’information relative aux Traitements de données qu’il réalise. La formulation et le format de l’information doivent être convenus avec le Responsable de traitement avant la collecte des données.

Dans la mesure du possible, le Sous-traitant doit aider le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données (lorsqu’il s’applique).

Outre l’obligation incombant au Sous-traitant d’aider le Responsable du traitement en vertu de la clause ci-dessus, le Sous-traitant aide en outre le Responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant :

  1. l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;
  2. l’obligation de consulter l'autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le Responsable du traitement ne prenait pas de mesures pour atténuer le risque ;
  3. l’obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le Responsable du traitement si le Sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes ;
  4. les obligations prévues à l’article 32 du règlement (UE) 2016/679.

Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse communiquée par le CLIENT.

5.2 Notification des violations de données personnelles

Le Sous-traitant notifie au Responsable du traitement toute Violation de Données Personnelles dans un délai maximum de 48 heures après en avoir pris connaissance, en utilisant l’adresse électronique communiquée par le CLIENT.

Cette notification est accompagnée de toute la documentation utile afin de permettre au Responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées. Cette documentation devra contenir les informations suivantes : 

  • L'origine de la violation des données (failles exploitées, procédés utilisés, etc.) ;
  • La chronologie précise des évènements ;
  • La nature et la quantité de données personnelles ayant été accessibles, ainsi que le nombre approximatif de personnes concernées par cette violation chez le Responsable de traitement ;
  • Les mesures de remédiation prises par le sous-traitant afin de limiter les impacts de la violation ;
  • Le cas échéant, la description des mécanismes de veille mis en place pour surveiller la potentielle vente ou réutilisation des données compromises ;
  • Les conséquences potentielles de la violation pour le Responsable de traitement ;
  • La décision de notifier la violation de données aux autorités de contrôle et dans la mesure du possible la nature des échanges avec ces autorités ;
  • le nom et les coordonnées du délégué à la protection des données ou de l’interlocuteur privilégié auprès duquel le Responsable de traitement pourra solliciter des informations supplémentaires.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

5.3 Analyse d’impact (AIPD) et relations avec l’autorité de Contrôle

Le Sous-traitant aide le Responsable du traitement pour la réalisation d’analyses d’impact à proportion des traitements sous-traités et des informations à sa disposition.

Le Sous-traitant assiste le Responsable de traitement pour la réalisation de consultations préalables auprès de l’autorité de contrôle.

Le Sous-traitant participe aux contrôles effectués par l’autorité de contrôle auprès du Responsable de traitement.

5.4 Hébergement et Sécurité des données

A. Généralités

Conformément à l’article 32 du règlement européen sur la protection des données, le Responsable du traitement et le Sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment :

  • la pseudonymisation et le chiffrement des Données à caractère personnel ;
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des Données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le Traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Si le traitement porte sur des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), le Sous-traitant applique des limitations spécifiques et/ou des garanties supplémentaires.

L'application d'un code de conduite approuvé comme le prévoit l'article 40 du règlement européen sur la protection des données ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 du Règlement européen sur la protection des données peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

B. Mesures de sécurité

Le Sous-traitant s’engage à respecter les lieux ainsi que les modalités d’hébergement des données précisés au sein du Contrat. 

Le Sous-traitant s’engage également à mettre en œuvre les mesures de sécurité décrites au sein du Contrat

Le Sous-traitant est informé que le non-respect des engagement précités constitue un manquement à ses obligations contractuelles.

B.1 Sort des données

Au terme de la prestation de service relative aux Traitements de Données Personnelles visé au III, le Sous-traitant s’engage à adresser les données de manière sécurisée et dans des formats interopérables au Responsable du traitement. Le Prestataire s’engage également après accusé de réception du Responsable de traitement, à détruire toutes les copies existantes dans ses systèmes d’information et à attester par écrit de la destruction de ces données.

B.2 Délégué à la protection des données

Le délégué à la protection des données personnelles du Responsable de traitement est disponible à l’adresse communiquée par le CLIENT.

Le délégué à la protection des données du Sous-traitant est disponible à l’adresse e-mail dpo@interstis.fr ou par courrier postal au 13 rue des Petits Hotels 75010 Paris.

B.3 Documentation

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement conformément à l’article 30 du règlement européen sur la protection des données.

Le Sous-traitant met à la disposition du Responsable du traitement la documentation nécessaire pour démontrer le respect de ses obligations légales et contractuelles. Il permet aussi la réalisation d'audits au sein de ses locaux ou à distance, y compris des inspections, par le Responsable du traitement ou un autre auditeur mandaté par le Responsable de traitement dans la limite d’une fois par an ou uniquement en présence d’indices de non-conformité.

Le Sous-traitant s’engage à contribuer de bonne foi à la réalisation de ces audits et inspections. Si la charge de l’audit ou de l’inspection est supérieure à 14h de travail pour le Sous-traitant, la mise à disposition de ressources supplémentaires fera l’objet d’une facturation au Responsable du traitement sur la base d’un coût de 800 € HT/jour. En tout état de cause, les opérations d’audit ne devront pas perturber le fonctionnement du service au-delà des contraintes inhérentes à un audit.

L’audit ne pourra porter sur des informations non spécifiques au Responsable du traitement, ceci afin de préserver la confidentialité des informations propres aux autres clients du Sous-traitant ou des informations dont la divulgation serait susceptible de porter atteinte à la sécurité des autres clients et d’autres données personnelles les concernant.

L’ensemble des frais d’audit et d’inspection resteront à la charge du CLIENT.

6. Obligations du Responsable de traitement

Le Responsable du traitement s’engage à :

  1. Fournir au Sous-traitant l’accès aux catégories de Données personnelles visées à ce présent contrat ;
  2. Documenter par écrit toute instruction concernant le Traitement des Données Personnelles par le Sous-traitant ;
  3. Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par l’article 28 du règlement européen sur la protection des données
  4. Superviser le Traitement, ce qui implique la réalisation d’audits et d’inspections auprès du Sous-traitant.
  5.  Préparer et mettre à disposition les mentions d’informations à communiquer aux personnes concernées. La communication des mentions d’information aux personnes concernées est effectuée selon des modalités et des moyens définis par le Responsable de traitement.

7. Obligations du Responsable de traitement quand celui-ci est le PRESTATAIRE

Dans le cadre de l’exécution du Contrat ou en cas d’utilisation des Services et Applicatifs par une personne physique pendant la période d’essai de 32 jours offerte par INTERSTIS PARTENAIRES, des Données Personnelles relatives au CLIENT/Utilisateur et à l’utilisation des Services et Applicatifs sont traitées par le PRESTATAIRE en qualité de Responsable de traitement afin de gérer sa relation avec le CLIENT/Utilisateur (information client/utilisateur, gestion des réclamations, facturation, gestion des paiements, recouvrements, etc.), fournir les Services (maintenance, développement et gestion de la qualité et de la sécurité des Services), prévenir la fraude, les impayés et les utilisations de Services non-conformes à la réglementation ou aux conditions contractuelles et se conformer à la réglementation en vigueur (obligation d’archivage, obligation de conservation de données comme les données de connexion et d’identification des utilisateurs).

Lorsqu’il intervient en qualité de Responsable de Traitement des Données dans les cas précités à l’alinéa précédent, le PRESTATAIRE réalise le Traitement des Données personnelles conformément aux Lois et Réglementations Applicables en matière de Données Personnelles.

Le PRESTATAIRE met en œuvre des traitements des données personnelles du CLIENT/Utilisateur que si au moins l’une des conditions suivantes est remplie :

  • L’exécution du Contrat conclu ou l’utilisation des Services et Applicatifs pendant la période d’essai nécessite le traitement de vos données personnelles ;
  • Le CLIENT/Utilisateur a donné son consentement aux opérations de traitement de ses données personnelles ;
  • Le PRESTATAIRE est tenu par des obligations légales et réglementaires qui nécessitent la mise en œuvre du traitement des données personnelles du CLIENT/Utilisateur ;
  • Le traitement des données personnelles du CLIENT/Utilisateur est nécessaire aux fins des intérêts légitimes poursuivis par le PRESTATAIRE ou par un tiers (sécurité des services, lutte contre la fraude, étude de la satisfaction client, gestion des impayés, litiges et contentieux).

Le PRESTATAIRE veille à ce que seul son personnel habilité puisse avoir accès aux données personnelles du CLIENT/Utilisateur.

Le PRESTATAIRE attache une grande importance à la protection, l’intégrité, la confidentialité et la disponibilité des données personnelles du CLIENT/Utilisateur. Par conséquent, il a mis en place des mesures techniques et organisationnelles appropriées décrites à l’article 11 ci-dessus afin de garantir un niveau de sécurité adapté au risque et ainsi protéger les données personnelles contre toute perte, altération, accès ou divulgation à des tiers non autorisés.

Conformément aux Lois et Réglementations Applicables en matière de Données Personnelles, le CLIENT dispose de droits sur ses données personnelles traitées par le PRESTATAIRE :

  • Le droit d’accès à ses données personnelles
  • Le droit de rectification de ses données personnelles
  • Le droit à l’effacement de ses données personnelles
  • Le droit à la limitation du traitement de ses données personnelles
  • Le droit à la portabilité de ses données personnelles
  • Le droit d’opposition au traitement de ses données personnelles
  • Le droit de retirer son consentement au traitement de ses données personnelles

Une description détaillée et les modalités d’exercice de ces droits sont accessibles ici.

Le délégué à la protection des données du Responsable de traitement quand celui-ci est le PRESTATAIRE est disponible à l’adresse e-mail dpo@interstis.fr ou par courrier postal au 13 rue des Petits Hotels 75010 Paris.

Le CLIENT/Utilisateur a le droit d’introduire une réclamation auprès de la CNIL sans empêcher l’exercice de tout autre recours administratif ou juridictionnel.

8. Résiliation

En cas de manquement par l’une des Parties à l’une de ses obligations contractuelles listée au sein du présent contrat, le contrat pourra être résilié de plein droit par l’autre Partie 15 jours après l’envoi d’une lettre de mise en demeure adressée par courrier recommandé avec avis de réception ou par courriel resté sans effet. La mise en demeure soulignera la ou les défaillances constatées.

Dans l’hypothèse d’une résiliation, le PRESTATAIRE supprimera, selon le choix du Responsable du traitement/CLIENT, toutes les données à caractère personnel traitées pour le compte du Responsable du traitement/CLIENT et certifiera auprès de celui-ci qu’il a procédé à cette suppression, ou renverra toutes les données à caractère personnel au Responsable du traitement/CLIENT et détruira les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. PRESTATAIRE continuera de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.

9. Champ d’application

Les présentes clauses annulent et remplacent toutes dispositions contractuelles contraires relatives aux Données Personnelles.

Les présentes clauses s’appliquent entre les Parties pour toute la durée de la relation contractuelle.