Conditions générales de vente de Hospitality Digital GmbH - Outil de réservation en ligne

Hospitality Digital GmbH Metro-Straße 1, 40235 Düsseldorf (« H.d ») propose aux sociétés de l’industrie hôtelière et de la restauration (« Client ») les services décrits plus en détail ci-dessous (« Services »).

1. Champ d’application

1.1 Les prestations de Services concernant l’« Outil de réservation en ligne » fournies par H.d reposent exclusivement sur les conditions contractuelles (« CG ») suivantes.

1.2 H.d fournit les Services exclusivement aux Clients qui ne sont pas des consommateurs au sens de l’article 13 du Code civil allemand (BGB).

1.3 Quelles qu’elles soient, les conditions générales divergentes du Client ne s’appliquent pas, même si H.d ne les rejette pas spécifiquement et/ou fournit les Services et/ou les prestations sans réserve en ayant connaissance des conditions générales contraires et/ou divergentes du Client.

2. Étendue des Services

2.1 H.d fournit les Services suivants au Client pendant la durée du contrat :

(a) H.d fournit au Client l’espace de stockage hébergé (« Espace de stockage hébergé »), à utiliser sur les systèmes de H.d, auquel le Client peut accéder par Internet (voir article 4).

(b) H.d accordera au Client l’accès en ligne au logiciel permettant au Client de gérer, d’implémenter et d’utiliser l’Outil de réservation en ligne sur son site Internet, (« Logiciel »), voir article 5 et de stocker les données recueillies en relation avec l’Outil de réservation en ligne dans l’Espace de stockage hébergé.

(c) H.d peut de temps à autre fournir des Services supplémentaires (« Services de conseil ») au Client, notamment en ce qui concerne l’installation et l’utilisation du Logiciel (voir article 6).

2.2 Pour augmenter la portée, H.d peut également rendre la disponibilité réelle des réservations (heures, tables et nombre de personnes) accessible à des prestataires tiers (p. ex. « Réserver avec Google »). Cependant, ces demandes de réservation ne peuvent être faites qu’en utilisant le logiciel H.d. Étant donné que les prestataires tiers indiquent un nombre minimum de personnes dans le cadre de l’acceptation automatique des réservations, H.d. a défini une valeur par défaut de quatre personnes à cet effet. Cette valeur peut être modifiée par le client à tout moment. Toutefois, les prestataires tiers peuvent ne pas être en mesure d’afficher les réservations réellement disponibles à la suite d’une telle modification.

2.3 H.d. se réserve le droit d’adapter les Services et autres prestations à l’état de la technique et aux évolutions ou besoins techniques, à condition que cette adaptation soit raisonnable pour le Client. H.d peut interrompre les Services et autres prestations moyennant un préavis raisonnable. H.d informera le Client de l’interruption des Services en temps utile.

3. Obligations du Client

3.1 Le Client est tenu de maintenir à jour les données et les coordonnées de l’entreprise indiquées à la conclusion du contrat pendant toute la période contractuelle et de communiquer immédiatement à H.d toute modification par écrit ou par e-mail. Le Client veillera en outre à consulter régulièrement l’adresse e-mail communiquée à H.d pour obtenir des informations relatives au contrat.

3.2 Le Client ne transmettra pas les données qu’il reçoit de la part de H.d à des tiers et les protègera contre l’accès par des tiers non autorisés. Le Client informera H.d immédiatement s’il a connaissance d’un possible usage abusif des données d’accès qui lui ont été confiées, ou s’il a des raisons sérieuses de le penser. Le cas échéant, H.d sera habilité à bloquer temporairement les données d’accès du Client au Logiciel, jusqu’à ce que le soupçon d’abus soit levé. En cas d’abus avéré, H.d est autorisé à bloquer définitivement les données d’accès et à en fournir d’autres au Client.

3.3 L’utilisation du Logiciel est réservée à l’usage commercial du Client. Le Client s’engage à ne pas utiliser le Logiciel de manière illégale ou à des fins illicites.

3.4 Le Client est conscient que son utilisation du Logiciel peut être associée à H.d. Par conséquent, le Client doit prendre toutes les mesures nécessaires pour que les services proposés par le Client et ceux proposés par H.d ou par des tiers soient distincts quant à leur contenu.

3.5 Si le Client découvre que son utilisation des Services ou d’autres prestations entraîne une violation de la loi, il est tenu de l’interrompre immédiatement afin de cesser d’enfreindre la loi et de supprimer tout contenu illicite.

4. Dispositions spéciales relatives à l’Espace de stockage hébergé

4.1 L’Espace de stockage hébergé est mis gratuitement à la disposition du Client. Par conséquent, H.d ne peut garantir aucune disponibilité particulière de l’Espace de stockage hébergé. De plus, l’Espace de stockage hébergé sera indisponible pendant les travaux de maintenance nécessaires. H.d s’efforcera de réduire au minimum les désagréments causés par les travaux de maintenance. H.d fournira au Client les autres spécifications de performance de l’Espace de stockage hébergé avant la conclusion du contrat.

4.2 Le Client s’assure et garantit que tous les fichiers, y compris les fichiers HTML et autres documents, textes, images, graphiques, polices, vidéos, etc. (« Contenu ») seront stockés, publiés et/ou mis à disposition sur l’Espace de stockage hébergé et/ou à l’aide du Logiciel conformément à la législation en vigueur. En particulier, le Client ne conservera le Contenu que dans l’Espace de stockage hébergé et/ou à l’aide du Logiciel pour lequel il détient les droits nécessaires, y compris les droits d’utilisation et d’exploitation régis par la législation relative au droit d’auteur, et ce Contenu ne doit porter atteinte à aucun droit personnel de tiers. En outre, le Client ne doit pas stocker, publier et/ou mettre à disposition dans l’Espace de stockage hébergé et/ou à l’aide du Logiciel tout Contenu à caractère immoral, en particulier pornographique, raciste ou discriminatoire. H.d est en droit de supprimer tout Contenu conservé dans l’Espace de stockage hébergé et/ou à l’aide du Logiciel en violation du présent article 4, et dont H.d est informé par des organismes gouvernementaux, des tribunaux, le titulaire de droits ou d’autres tiers, ou dont H.d a pris connaissance par tout autre moyen.

4.3 Le Client accordera à H.d. les droits nécessaires sur tous les Contenus que le Client conserve, publie et/ou met à disposition du public sur l’Espace de stockage hébergé et/ou à l’aide du Logiciel, notamment les droits nécessaires au stockage, à l’adaptation technique, à la mise à disposition et à la copie du Contenu. H.d ne peut avoir accès au Contenu du Client dans l’Espace de stockage hébergé que dans la mesure où cet accès est techniquement nécessaire pour fournir et/ou publier le Contenu et où il est conforme aux autorisations contractuelles accordées.

4.4 En outre, le Client n’est pas autorisé à exécuter ou à faire exécuter des processus automatisés, des scripts, des logiciels ou d’autres données et/ou Contenus dans l’Espace de stockage hébergé, ni à prendre ou à faire prendre des mesures (à l’aide du Logiciel) qui porteraient atteinte de manière non négligeable aux systèmes, réseaux et/ou autres matériels et logiciels, tels que les composants réseau de H.d et/ou de tiers. Dans le cas où H.d prendrait connaissance d’un tel préjudice, H.d aura le droit de mettre fin à celui-ci et/ou de l’empêcher.

4.5 Le Client doit effectuer quotidiennement des sauvegardes de données afin de pouvoir récupérer le Contenu de l’Espace de stockage hébergé sans frais supplémentaires.

4.6 Étant donné que le Client agit en tant que partie responsable vis-à-vis de l’utilisateur/utilisateur final, le Client est tenu de faire figurer des mentions légales sur son site Internet, qui contiennent toutes les informations obligatoires.

5. Dispositions spéciales relatives au Logiciel

Le Client n’a pas le droit d’accéder ou d’utiliser le Logiciel pour le compte d’un tiers ou à d’autres fins. Le Client n’est notamment pas autorisé à copier le Logiciel, à le mettre à la disposition de tiers, à le désassembler ou à le modifier de toute autre manière.

6. Dispositions spéciales pour les Services de conseil

6.1 H.d. peut proposer des Services de conseil au Client, concernant notamment la configuration initiale du Logiciel, la meilleure utilisation à long terme possible du Logiciel (par exemple, les fonctionnalités à ajouter) et la présentation de la façon dont ladite utilisation peut améliorer la situation commerciale globale du Client. Les Services de conseil peuvent également inclure la recommandation au Client d’outils et de services supplémentaires qui correspondent au Logiciel.

6.2 Les Services de conseil peuvent être fournis par des Sociétés affiliées de H.d. L’annexe des présentes CG contient des informations sur les Sociétés affiliées qui fournissent les Services de conseil à l’emplacement des activités du Client. En acceptant les présentes CG, le Client accepte que les Services de conseil puissent être fournis par la Société affiliée basée à l’emplacement des activités du Client.

6.3 Pour la fourniture des Services de conseil, H.d partage des données à caractère personnel et d’autres données avec la Société affiliée concernée afin de permettre à cette Société affiliée de fournir les Services de conseil.

6.4 H.d ne garantit aucun niveau de service spécifique ou une disponibilité spécifique ou continue des Services de conseil.

7. Conclusion du contrat, durée, résiliation

7.1 En s’inscrivant pour accéder au Logiciel sur le site Web fourni par H.d., le Client propose de conclure un contrat d’utilisation du Logiciel sur la base des présentes CG. L’acceptation par H.d. est généralement engendrée par le démarrage de la prestation des services par H.d.

7.2 Le contrat est conclu pour une durée illimitée et peut être résilié à tout moment par le Client et sur préavis de deux (2) semaines par H.d.

7.3 Les résiliations revêtent la forme écrite ou électronique.

7.4 Le droit des parties de résilier le contrat sans préavis pour un motif valable reste inchangé. Un motif valable s’applique en particulier en cas de violation par le Client d’une obligation découlant des clauses 3 et 5.

7.5 À l’entrée en vigueur de la résiliation, H.d supprimera l’ensemble des données du Client, sauf s’il existe une obligation légale de les conserver. Dans ce cas, les données seront supprimées à l’échéance du délai de conservation correspondant.

8. Gewährleistung und Haftung, Freistellung

8.1 H.d se substituera au Client exclusivement pour les préjudices encourus par ce dernier dans le cadre des Services en raison de vices cachés. H.d n’assumera aucune autre responsabilité pour les vices de titre et/ou les vices significatifs des Services et prestations fournis gratuitement.

8.2 H.d, ses auxiliaires ou ses représentants légaux ne seront responsables des services qu’en cas d’actes volontaires, de négligence grave ou d’atteinte fautive à la vie, à l’intégrité physique ou à la santé, ainsi qu’en cas de dol. La responsabilité au titre de la loi allemande relative à la responsabilité du fait des produits n’est pas affectée par cette disposition.

8.3 Les limitations de responsabilité énoncées aux articles 8.1 et 8.2 s’appliquent en conséquence aux Sociétés affiliées de H.d.

8.4 Le Client exempte H.d, ses auxiliaires et ses représentants légaux, ainsi que les sociétés affiliées à H.d en vertu de l’article 15 de la loi allemande sur les sociétés par actions simplifiées - AktG (« Sociétés affiliées »), sur première demande, de l’ensemble des revendications de tiers les faisant valoir au titre de, ou en lien avec les Services de H.d, ses auxiliaires, ses représentants légaux et/ou les entreprises partenaires de H.d, y compris les revendications de tiers fondées sur l’utilisation illégale des données et/ou l’absence de consentement des personnes concernées et/ou des infractions aux droits de la personnalité de membres du personnel du Client. Cette exemption comprend également les frais de justice requis, y compris les frais d’arbitrage.

8.5 Le Client est seul responsable du Contenu. Par conséquent, le Client devra, sur première demande, indemniser et exonérer de toute responsabilité H.d, ses auxiliaires et représentants légaux, et toutes les sociétés affiliées à H.d en vertu de l’article 15 de la loi allemande sur les sociétés par actions (AktG) suite à des réclamations de tiers contre H.d, ses auxiliaires, représentants légaux et/ou sociétés affiliées à H.d en rapport avec les Services ou autres prestations. Cette obligation s’appliquera en particulier à toutes les infractions au droit des marques, aux droits d’auteur, aux lois de protection des données et au droit de la concurrence. Cette indemnisation comprendra les frais de justice nécessaires, y compris les frais de procédure d’arbitrage.

9. Protection des données, confidentialité

9.1 La politique de confidentialité, qui peut être consultée à tout moment sur le site Web indiqué dans la description du service, s’applique au traitement des données à caractère personnel effectué dans le cadre de la fourniture de services par H.d.

9.2 Dans la mesure où H.d traite des données à caractère personnel pour le compte du Client, le Contrat de traitement des données annexé aux présentes CG s’applique.

9.3 Les parties ont interdiction de laisser des tiers accéder aux informations confidentielles, y compris après la fin de la période contractuelle, et de les utiliser à d’autres fins que celles du contrat. Toutes les informations techniques et le savoir-faire mis à la disposition du Client, ainsi que les autres informations désignées comme confidentielles par l’une des deux parties et ayant une valeur commerciale sont considérés comme confidentiels. Cela inclut expressément les secrets industriels et commerciaux.

9.4 L’obligation de confidentialité ne concerne pas les informations qu’une partie divulgue à l’autre partie ou au public sans enfreindre la clause 9.3, qui sont déjà connues, qui doivent être accessibles à des tiers en raison d’une disposition juridique, judiciaire ou administrative, ou qui sont examinées par des tiers tenus au secret dans le cadre d’un projet de rachat d’entreprise.

10. Rémunération

10.1 Le Client ne sera redevable d’aucune rémunération pour la fourniture des Services par H.d. Les Services seront fournis gratuitement.

10.2 Les services fournis par des tiers dans le cadre de services supplémentaires ne sont pas concernés par l’article 10.1.

11. Autres dispositions

11.1 H.d peut faire accomplir toutes ou parties des prestations qu’il doit exécuter dans le cadre du présent contrat, en particulier les Services, par des sous-traitants. H.d est habilité à transférer le présent contrat à une société affiliée au sens du l’article 15 de la loi AktG sur préavis, sauf si cela est inacceptable pour le Client.

11.2 H.d peut modifier les présentes CG sur préavis adressé au Client, y compris les modifications prévues. H.d ne peut modifier les CG que dans la mesure où cela est acceptable pour le Client, où les modifications ne concernent pas des obligations contractuelles substantielles ou où la modification ne dégrade pas la situation générale pour le Client. Le Client peut refuser une modification des CG dans un délai de quatre (4) semaines suivant réception de l’avis ou résilier le contrat sans préavis. Le non-rejet de la modification des CG ou son rejet hors délai par le Client vaut acceptation de la modification des CG. H.d informera le Client des conséquences d’une absence de rejet et du droit de résiliation sans préavis du contrat dans ses avis relatifs aux modifications des CG.

11.3 Si une clause du présent contrat est ou devient totalement ou partiellement nulle, sans effet, inexécutable ou inapplicable (« Clause caduque »), l’efficacité et l’applicabilité des autres clauses de ce contrat continuent à s’appliquer de manière inchangée. Les parties s’engageront dès lors à convenir en lieu et place de la Clause caduque d’une autre se rapprochant au maximum de ce que les parties auraient convenu en termes de sens et d’objectif du contrat si elles avaient eu connaissance de la nullité de la clause, sous réserve des possibilités juridiques. Si la caducité d’une clause repose sur l’une de ses mesures concernant la prestation ou la durée (délai ou date butoir), elle doit être remplacée par une mesure juridiquement applicable la plus proche de la mesure initiale. Il en va de même pour tout vide réglementaire de ce contrat. Les parties expriment leur intention expresse que cette clause de sauvegarde n’entraîne pas un simple transfert de la charge de la preuve, mais qu’elle déroge globalement à l’article 139 du BGB.

11.4 Le contrat, ainsi que l’ensemble des revendications et des droits découlant de, ou en association avec le contrat sont soumis exclusivement à la législation allemande, à l’exclusion du droit des conflits de lois, et doivent être interprétés et exécutés conformément au droit allemand. La Convention des Nations Unies sur les contrats de vente internationale de marchandises (CVIM) ne s’applique pas. La juridiction compétente est celle de Düsseldorf.

11.5 Les seuls tribunaux habilités à trancher l’ensemble des litiges émanant de, ou en association avec le présent contrat, sa réalisation ou son exécution sont, dans la mesure juridiquement autorisée, ceux de Düsseldorf.

Stand: February 2019 /AG




Contrat de traitement des données

En confirmant les Conditions générales ci-dessus, le Client (le « Responsable du traitement ») et H.d (le « Sous-traitant »), désignés ensemble par le terme « Parties » et individuellement par le terme « Partie », concluent également le Contrat de traitement des données (« CTD ») suivant.

Préambule

Dans le cadre de ses activités commerciales et conformément aux Conditions générales ci-dessus, le Sous-traitant reçoit des données à caractère personnel qui relèvent de la responsabilité du Responsable du traitement. Les Parties acceptent les dispositions du présent CTD afin de respecter les obligations des parties en matière de protection des données conformément au droit européen sur la protection des données, et plus particulièrement au Règlement général sur la protection des données (Article 28 du RGPD).

1. Définitions

1.1 Données à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »). Une personne physique est considérée comme identifiable lorsqu’elle peut être identifiée, directement ou indirectement, en particulier par association à un identificateur, comme un nom, un numéro d’identification, des données géographiques, un identifiant en ligne ou une ou plusieurs caractéristiques particulières exprimant son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale (ci-après « Données »).

1.2 Le terme Traitement des données pour un tiers désigne la collecte, le traitement ou l’utilisation de données par le Sous-traitant pour le Responsable du traitement.

2. Objet et contenu de la commande

2.1 Objet et durée de la commande

Les détails et la durée de la commande résultent des présentes Conditions générales.

2.2 Type de données

· Données de base personnelles (par ex. nom, prénom, date de naissance, etc.)

· Données de communication (par ex. téléphone, e-mail, adresse)

· Lieu, date et heure de la réservation du client effectuée via le Logiciel

  • Adresses IP

2.3 Objectif de la collecte, du traitement ou de l’utilisation des données

L’objectif de la collecte, du traitement ou de l’utilisation des données est décrit plus en détail dans les Conditions générales et la Politique de confidentialité.

2.4 Nature et portée de la collecte, du traitement ou de l’utilisation des données

La nature et la portée de la collecte, du traitement ou de l’utilisation des données sont décrites plus en détail dans les Conditions générales et la Politique de confidentialité.

2.5 Catégorie de Personnes concernées

Les clients du Client

2.6 Mesures techniques et organisationnelles

(a) Les mesures techniques et organisationnelles que le Sous-traitant doit mettre en œuvre sont énoncées dans l’Annexe (voir ci-dessous) du présent CTD. Le Sous-traitant adaptera régulièrement ces mesures à l’état de la technique à ses propres frais, dans la mesure où le niveau de protection convenu n’est pas diminué et où les Personnes responsables sont immédiatement informées.

(b) Le Sous-traitant a l’obligation d’autoriser le Responsable du traitement à vérifier la conformité sur site des mesures techniques et organisationnelles avant de commencer les activités de traitement en vertu du présent contrat. Le droit de vérification du Responsable du traitement conformément à l’Article 2.10 reste inchangé.

(c) Le Sous-traitant doit s’assurer que les systèmes de traitement des données utilisés dans le cadre du CTD respectent les normes de « Protection des données dès la conception » et « Protection des données par défaut » conformément à l’état de la technique.

2.7 Correction, suppression et blocage de données, droit à la portabilité des données et droit d’opposition

(a) Les droits des personnes concernées par le traitement des données mis en œuvre par le Sous-traitant, notamment les droits de rectification, de suppression et de blocage, de portabilité des données et d’opposition, doivent être revendiqués à l’encontre du Responsable du traitement. qui est seul responsable de la protection de ces droits.

(b) Dans le cadre de son travail pour le Responsable du traitement, le Sous-traitant est tenu de transmettre sans délai au Responsable du traitement toute demande qui lui est adressée par les personnes concernées en vue d’un traitement approprié. Si le Responsable du traitement et le Sous-traitant jouent un rôle commun de personnes responsables extérieures, le Sous-traitant est en droit de répondre à la demande indépendamment.

(c) Le Sous-traitant doit également assister le Responsable du traitement à l’aide de mesures techniques et organisationnelles appropriées pour respecter son obligation de répondre aux personnes concernées.

(d) Conformément aux instructions du Responsable du traitement, le Sous-traitant doit rectifier, suspendre et/ou supprimer les données immédiatement, et au plus tard sous cinq (5) jours, et informer le Sous-traitant avant cette échéance.

2.8 Devoirs du Sous-traitant

(a) Le Sous-traitant peut recueillir, traiter et utiliser des données uniquement dans le cadre de la commande et des instructions documentées du Responsable du traitement.

(b) Le Sous-traitant doit respecter les mesures techniques et organisationnelles définies dans la Clause 2.6 du présent CTD à intervalles réguliers et les envoyer sur demande.

(c) Le Délégué à la protection des données est nommé comme interlocuteur pour la protection des données par le Sous-traitant. Le Délégué à la protection des données peut être contacté à l’adresse privacy@hd.digital. Si nécessaire, le Sous-traitant peut également nommer un représentant conformément aux exigences de l’Article 27 du RGPD.

(d) Le Sous-traitant est chargé d’assurer la confidentialité. Tout membre de l’organisme du Sous-traitant autorisé à consulter les données du Responsable du traitement doit être soumis à une obligation de confidentialité ou à un secret professionnel suffisant, et doit être informé des obligations spéciales de protection des données établies par le présent CTD, ainsi que des instructions et de l’objectif existants. Le Sous-traitant mettra ces obligations à l’écrit et les fournira à la demande du Responsable du traitement.

2.9 Justification des conditions de sous-traitance

(a) La justification de relations de sous-traitance est autorisée. Le Sous-traitant doit prévenir le Responsable du traitement des changements correspondants à l’avance. Le Responsable du traitement est en droit de s’y opposer.

(b) En cas de commande à un autre sous-traitant, le Sous-traitant doit s’assurer contractuellement que les obligations du Sous-traitant établies en vertu du présent CTD s’appliquent également à l’autre sous-traitant.

(c) Le Sous-traitant doit contrôler les mesures techniques et organisationnelles mises en place par l’autre sous-traitant ponctuellement et régulièrement pendant la période de sous-traitance afin de protéger les données qu’il a fournies. La transmission de données est uniquement autorisée si l’autre sous-traitant a mis en œuvre des mesures techniques et organisationnelles au moins aussi strictes que celles établies dans le présent CTD.

(d) Le Sous-traitant est entièrement responsable des sous-traitants qu’il emploie.

2.10 Droits d’audit du Responsable du traitement

Le Responsable du traitement est autorisé à vérifier le respect des réglementations en vigueur en matière de protection des données et du CTD pendant les heures ouvrables normales. Le Sous-traitant accepte de fournir au Responsable du traitement toutes les informations raisonnablement nécessaires pour effectuer l’inspection dans un délai raisonnable. Si le Responsable du traitement estime qu’un audit sur site du Sous-traitant est nécessaire, le Sous-traitant doit s’assurer que la personne chargée d’effectuer l’audit a accès au bureau du Sous-traitant et peut effectuer une inspection sur place des données stockées et des programmes de traitement des données. Le Responsable du traitement est autorisé à faire appel à un tiers (un examinateur) pour effectuer la vérification ; il sera désigné au cas par cas. Le Responsable du traitement doit annoncer la tenue dudit audit par écrit au moins vingt (20) jours ouvrables à l’avance. Les frais engagés par le Sous-traitant pour l’audit, au taux normal du marché, seront assumés par le Responsable du traitement.

2.11 Notifications d’infractions par le Sous-traitant

(a) Le Sous-traitant doit avertir le Responsable du traitement immédiatement, au plus tard quarante-huit (48) heures après une telle découverte, de toute infraction aux règles de protection des données du Responsable du traitement ou des conditions du présent CTD par le Sous-traitant ou des personnes ou sous-traitants qu’il emploie.

(b) Tout incident de perte, ou de transmission ou réception illégale de données par des tiers, quelle qu’en soit la cause, doit être notifié au Responsable du traitement. Le Sous-traitant doit, en consultation avec le Responsable du traitement, prendre les mesures adéquates pour protéger les données et réduire les conséquences négatives potentielles pour les personnes concernées. Dans la mesure où les personnes responsables respectent les obligations de notification, le Sous-traitant doit aider le Responsable du traitement à respecter ces obligations.

2.12 Instructions du Responsable du traitement

(a) Le traitement des données du Responsable du traitement par le Sous-traitant doit être effectué uniquement dans le cadre du CTD et des instructions spécifiques indiquées par le Sous-traitant.

(b) Le Sous-traitant doit immédiatement respecter les instructions (personnelles) concernant la nature, la méthode et la portée du traitement, ou, le cas échéant, l’échéance établie par le Responsable du traitement.

(c) Le Sous-traitant doit avertir le Responsable du traitement immédiatement s’il estime que les instructions données par le Responsable du traitement enfreignent les réglementations en matière de protection des données. Le Sous-traitant doit pouvoir suspendre l’application des instructions concernées jusqu’à ce qu’elles aient été confirmées ou modifiées par le Responsable du traitement.

2.13 Suppression après exécution de la commande

Après exécution du travail contractuel, le Sous-traitant doit remettre toutes les données qu’il a traitées pour le compte du Responsable du traitement ou, avec l’accord préalable du Responsable du traitement, les détruire conformément aux normes de protection des données ou les supprimer conformément à l’état de la technique. Il est exclu de pouvoir disposer d’un droit de conservation pour les documents, les données, le traitement et autres résultats d’utilisation, ainsi que les supports de données associés, sauf si le droit de l’Union européenne ou d’un État membre de l’Union européenne exige que les données soient conservées.

3. Obligations supplémentaires du Sous-traitant

3.1 Le Sous-traitant utilise les données fournies pour traitement à cette fin uniquement. Il est interdit de créer des copies ou des doubles des données sans que le Responsable du traitement n’en ait été informé et n’y ait consenti par écrit, sauf pour les services commandés dans le cadre du CTD. Le Sous-traitant doit s’assurer que les données qu’il traite pour le Responsable du traitement sont séparées des autres données. La transmission de données du Responsable du traitement à un tiers par le Sous-traitant est soumise au consentement écrit du Responsable du traitement.

3.2 Le Sous-traitant doit apporter une assistance raisonnable aux personnes responsables en les défendant contre tout recours basé sur une infraction prétendue ou avérée aux exigences de protection des données. Le Responsable du traitement, quant à lui, doit étudier les réclamations des personnes concernées de manière appropriée dans le cadre de sa responsabilité en matière de protection des données et les traiter.

3.3 Le Sous-traitant reconnaît que les informations sont fournies aux personnes concernées sur la base d’un droit à l’information et exclusivement par l’intermédiaire du Responsable du traitement ou d’une personne autorisée par ce dernier. Le Sous-traitant est tenu de fournir au Responsable du traitement les informations requises en temps voulu et de soutenir le Responsable du traitement. Si le Sous-traitant lui-même agit également en tant que Responsable du traitement externe, ces requêtes peuvent également être traitées en conséquence et le Responsable du traitement, informé en conséquence.

3.4 Le Sous-traitant doit aider le Responsable du traitement à préparer les index nécessaires pour la procédure, le cas échéant.

3.5 Le Sous-traitant doit aider le Responsable du traitement à mener des évaluations d’impact de la protection des données si un type de traitement est susceptible de faire peser un risque élevé sur les droits et libertés des personnes physiques.

3.6 Le Sous-traitant convient d’informer le Responsable du traitement immédiatement des résultats des inspections menées par les autorités de surveillance de la protection des données dans la mesure où ceux-ci sont liés au présent CTD. Le Sous-traitant informera les personnes responsables de toute réclamation émanant des autorités de surveillance de la protection des données entrant dans le domaine de compétence du Sous-traitant et apportera une solution à toute réclamation identifiée conformément à la loi.

4. Responsabilité

4.1 Le Responsable du traitement est garant de la licéité du traitement des données, ainsi que de la protection des droits des personnes concernées.

4.2 Par dérogation à l’article 4.1, le Sous-traitant est responsable des réclamations émanant des personnes concernées dues à des infractions aux dispositions légales en vigueur ou aux dispositions du CTD.

4.3 Vis-à-vis du Responsable du traitement, le Sous-traitant n’engage sa responsabilité qu’en cas de négligence volontaire et grave entrant dans le cadre des clauses d’exclusion et de limitation de responsabilité autorisées par la loi.

5. Dispositions finales

5.1 Le Responsable du traitement doit informer le Sous-traitant immédiatement et complètement s’il détecte des erreurs ou des irrégularités dans le traitement des données par le Sous-traitant pendant l’audit.

5.2 Le présent CTD peut être modifié et résilié selon les mêmes modalités que les Conditions générales ci-dessus.

5.3 La nullité d’une ou de plusieurs dispositions du présent CTD n’affecte pas l’applicabilité du CTD. Le cas échéant, les Parties doivent adopter une autre disposition juridiquement valable, ayant une portée économique aussi proche que possible de la disposition inapplicable. Il en va de même en cas de carence.

5.4 Le CTD est soumis au même droit que les Conditions générales ci-dessus.

5.5 En cas de contradiction entre le CTD et d’autres accords conclus entre les parties, les dispositions du présent CTD prévalent.

Stand: Juli 2019/ AG


Mesures techniques et organisationnelles

En tenant compte de l’art de la technique, des coûts de mise en œuvre, ainsi que de la nature, de la portée, des circonstances et des objectifs du traitement, mais aussi de la probabilité et de la gravité variables du risque pour les droits et libertés des personnes physiques, le Sous-traitant doit prendre des mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adapté au risque ; ces mesures incluent, entre autres, les suivantes :

• la pseudonymisation et le chiffrement des données ;

• la capacité d’assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

• la possibilité de rétablir rapidement la disponibilité et l’accessibilité des données en cas d’incident physique ou technique ;

• une procédure permettant de tester, d’analyser et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

Sans préjudice de ce qui précède, les mesures spécifiques suivantes seront prises :

1. Contrôle des accès

Mesures visant à empêcher les personnes non autorisées d’accéder au système de traitement des données :

• définition des caractéristiques du groupe de personnes autorisé et documentation correspondante ;

• contrôle des accès électroniques ;

• création de badges d’accès ;

• élaboration de directives pour les personnes extérieures ;

• alarme ou sécurité en dehors des heures ouvrables ;

• répartition des actifs dans différentes zones de sécurité ;

• élaboration de directives concernant la gestion des clés (cartes) ;

• portes sécurisées (dispositif d’ouverture de porte électronique, lecteur de badge d’identification, vidéosurveillance) ;

• mise en place de mesures de sécurité sur site (par ex. détection/notification des intrusions).

2. Contrôle des accès

Mesures visant à empêcher les personnes non autorisées d’utiliser le système et les procédures de traitement des données :

• définition du groupe de personnes ayant accès aux systèmes de traitement des données ;

• élaboration de directives pour les personnes extérieures ;

• protection par mot de passe des ordinateurs personnels.

3. Zutrittskontrolle

Mesures visant à s’assurer que les personnes autorisées à utiliser les techniques de traitement des données peuvent uniquement accéder aux données pour lesquelles elles ont obtenu une autorisation :

• introduction de droits d’accès limités en fonction des données et des postes occupés ;

• obligation de s’identifier sur l’équipement de traitement des données (par ex. par identification et authentification) ;

• mise en place de politiques en matière d’accès et de rôles utilisateurs ;

• évaluation des protocoles en cas d’événement préjudiciable.

4. Weitergabekontrolle

Mesures visant à s’assurer que les données ne peuvent pas être lues, copiées, modifiées ou supprimées pendant leur transmission électronique ou durant leur transfert ou leur stockage sur des supports de données et qu’il est possible de vérifier et de déterminer les horaires de transmission des données.

• Chiffrement

5. Contrôle des entrées

Mesures visant à s’assurer qu’il est possible de vérifier et déterminer a posteriori si une personne, et qui, a saisi, modifié ou supprimé des données des systèmes informatiques.

• Enregistrement des saisies de données.

6. Contrôle des commandes

Mesures visant à s’assurer que les données de la commande peuvent seulement être traitées conformément aux instructions du Responsable du traitement :

• documentation des différentes compétences et obligations du Responsable du traitement et du Sous-traitant ;

• mise en service officielle ;

• contrôle des résultats des travaux.

7. Contrôle de disponibilité

Mesures visant à s’assurer que les données sont protégées contre la destruction ou la perte accidentelle :

• mise en œuvre d’un programme de sauvegardes régulières ;

• stockage sécurisé des sauvegardes de données dans des armoires de sécurité ignifuges et étanches ;

• mise en place d’un système d’alimentation de secours et d’un système de protection contre les surtensions et contrôle régulier de ceux-ci ;

• mise en place d’un plan d’urgence ;

• protocole relatif à la mise en place d’une gestion de crise et/ou d’urgence.

8. Contrôle de séparation

Mesures visant à s’assurer que les données collectées à différentes fins peuvent être traitées séparément.

• Séparation des données de chaque client du Sous-traitant.

Stand: Juli 2019/ AG