Conditions générales de vente : Connelink
Contrat SaaS « Software As A Service » et toutes prestations annexes
Version du 23/01/2022
Entre les soussignés
CONNELINK, société par actions simplifiée à associé unique au capital social de 5 000,00 euros, immatriculée au RCS Bordeaux sous le numéro 798 958 898, dont le siège social est sis Les Bureaux du Lac II - Immeuble P – rue Robert Caumont - 33049 Bordeaux Cedex, représentée par Monsieur Guillaume GESNEL, son président, dûment habilité aux présentes, agissant en son nom et pour son compte et au nom et pour le compte de la (ou des) Mandante(s), domicilié audit siège.
Ci-après le « Prestataire »,
d'une part,
Et :
<Société>, <Forme juridique> au capital de <Montant du capital social> euros, ayant son siège social <Adresse du siège social>, immatriculée au Registre du Commerce et des Sociétés de <Lieu d’immatriculation> sous le numéro <Numéro d’immatriculation>, Représentée par Monsieur <Nom du représentant>, <Fonction>, Ci-après
Ci-après le « Client »,
d'autre part,
Il est préalablement rappelé ce qui suit :
La société CONNELINK est spécialisée dans la mise à disposition de services collaboratifs hébergés permettant de répondre aux différents besoins des entreprises et dont la liste est accessible sur le site du Prestataire à l'adresse suivante : http://www.connelink.fr
La société CONNELINK a su développer un savoir-faire désormais reconnu dans cette activité qui consiste en la mise à disposition de services hébergées et accessibles à distance, par le réseau Internet.
Le client souhaite recourir à une solution informatique externe lui permettant notamment de réduire ses coûts tout en lui offrant une facilité de gestion et une disponibilité optimale des solutions informatiques mises à sa disposition.
Après avoir étudié les différentes solutions existantes sur le marché, le Client a pu exposer au Prestataire ses besoins, et ses attentes.
Le Client souhaite utiliser les solutions logicielles proposées selon le mode opératoire SaaS.
La solution présentée par la société CONNELINK répondant parfaitement aux attentes du Client, c'est dans ces conditions que les parties se sont rapprochées pour conclure le présent contrat aux conditions ci-après définies.
Ceci étant exposé, les parties ont convenu ce qui suit :
Article 1. Définitions
« Abonnement » : désigne la concession d'un droit d'utilisation non exclusif, nominatif, personnel et temporaire sur les solutions logicielles hébergées par le Prestataire au bénéfice du Client et de ses filiales détenues à plus de 50% par le Client.
« Accès » : prestations permettant de rendre accessible, dans les meilleures conditions de performance et de sécurité, les solutions logicielles hébergées par le Prestataire.
« Anomalie » : tout défaut de conception et/ou d'hébergement et notamment de performance, bogues, erreurs se manifestant par des difficultés de fonctionnement empêchant en tout ou partie l'accès aux solutions logicielles par le Client.
« Anomalie bloquante » : anomalie qui empêche l'utilisation et/ou l'exploitation des solutions logicielles.
« Données » : désigne les données informatiques, personnelles ou non, du client constituées lors de l'utilisation des solutions logicielles mises à sa disposition et stockées sur les serveurs du Prestataire.
« Données à caractère personnel » : données qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques tel que formulé à l’article du 4 du Règlement pour la Protection des Données Personnelles
« Données dites "sensibles" » : données créées par le Client dans le cadre de l'utilisation des solutions logicielles et qui constituent, selon la seule appréciation du Client, un secret de fabrique ou une information toute aussi importante supposant un traitement spécifique ci-après décrit par le Prestataire.
« Identifiants » : désigne les nom et mot de passe du client lui permettant d'avoir accès à ses Données et aux solutions logicielles hébergées par le Prestataire.
« Internet » : ensemble de réseaux informatiques et de télécommunication interconnectés, de dimension mondiale, permettant l'accès à des contenus par des utilisateurs, via des serveurs ; chaque élément de ce réseau appartient à des organismes privés et publics qui les exploite en coopération, sans obligation bilatérale de qualité.
« SaaS » (« Software as a Service » ou « Logiciel en tant que service ») : désigne une solution logicielle applicative hébergée et exploitée par un tiers en dehors de l’entreprise du client utilisateur, et accessible à la demande via un accès Internet. L’utilisation de la solution est facturée sous forme d’un abonnement tout compris couvrant l’ensemble des services souscrits par le client.
« Services » : désigne l'ensemble des prestations contractuelles définies à l’article 2 telles que la mise à disposition à distance de solutions logicielles hébergées par le Prestataire, le traitement des données communiquées, la sauvegarde, ou encore la maintenance des solutions logicielles mises à disposition.
« Solutions logicielles » : programmes informatiques hébergés sur les serveurs du Prestataire et exécutables à distance par le Client.
Article 2. Objet
Le Prestataire est officiellement un « Partenaire HCL fournisseur de solutions HCL hébergées et managées ».
« CONNELINK Collaboration Cloud » (3C) est une offre collaborative complète et sécurisée en mode Software As A Service (Saas) disponible 24 heures sur 24 7 jours sur 7, basée sur « HCL Digital Solution » (DS) et hébergée chez OVHCloud.
Le Prestataire dédie une partie de l’architecture matérielle et logicielle 3C public au Client afin que celui-ci bénéfice d’une plateforme de Services comprenant les services souscrits par le Client définis en Annexe 1
Le contenu des services 3C est décrit en Annexe 2.
Les services d’hébergements et d’infogérances sont vendus par le Prestataire et fournis par la société OVHCloud et décrit en Annexe 3.
Les services d’antispam sont vendus par le Prestataire et fournis par la société OKTEY et décrit en Annexe 4.
Ces services supposent la mise à disposition d’une licence d’utilisation et de revente des programmes correspondants, édités par HCL.
Le Prestataire et HCL ont donc conclu un contrat unique de licence nommé « Connelink CLOUD HOSTING AGREEMENT » signé en date du 23/12/2019 et ce pendant une période de 5 ans, permettant au Prestataire de revendre l’utilisation des licences HCL au Client. Ces licences sont composées d’un « master licence » et de licences appliquées, elles figurent en annexe 5 des présentes.
L’ensemble des services étant ci-après désigné « les Services 3C ».
Les sociétés HCL, OVHCloud et OKTEY agissent en qualité de sous-traitants du Prestataire, lequel demeure le seul interlocuteur du Client. A ce titre, le Prestataire reste seul responsable à l’égard du Client de l’ensemble des Services 3C, qui demeurent réalisés sous son entière responsabilité.
2.1 Mise en service de la plateforme de Services 3C
2.1.1 Pré requis à l’installation de la plateforme, limitations et impacts techniques
Les prérequis techniques sont définis en Annexe 6.
2.1.2 Limitations techniques
Les limitations techniques sont définies en Annexe 7.
2.1.3 Impacts techniques
Les impacts techniques sont définis en Annexe 8.
2.2 Service d’hébergement
Les données sont hébergées en France dans les data centers de OVHCloud.
Toutes les couches applicatives sont chiffrées avec des clés fabriquées et détenues par le Prestataire seulement.
Le Prestataire garantit au Client la mise à jour sans interruption de service, régulière et planifiée hebdomadairement de la plateforme d’hébergement tant au niveau du système d’exploitation (OS) qu’au niveau des logiciels nécessaires au bon fonctionnement des Services afin de garantir le plus haut niveau de sécurité. Les patchs de sécurité critique sont déployés dans les 12 heures sur l’ensemble de l’architecture, après réception de l’alerte par l’éditeur, et sans interruption de service.
La plateforme d’hébergement dispose également de mises à jour automatiques des bases antivirus ainsi que des scans antivirus en temps réel.
Le Prestataire se réserve le droit de mettre à jour la solution à n'importe quel moment, tout en prévenant au préalable 2 semaines minimum à l'avance ses clients afin qu’ils puissent adapter leur communication interne.
2.3 Sécurité 3C
Le Prestataire garantit qu’aucun fournisseur de cloud n’a accès aux données hébergées chiffrées.
Le Prestataire est une société de droit français non soumise au Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943).
Les données et les flux sont stockés et gérés en France.
2.4 Support
Le support 24h/24 et 7j/7 est assuré pour toutes les Anomalies bloquantes (gravité 1 : pannes de services). Ce support est géré par une entreprise française basée en France composée de plusieurs personnes travaillant en France. Ils vérifient la surveillance des systèmes 24h/24 et 7j/7 et appliquent nos procédures en cas de panne dans l'un des deux data centers OVHCloud situés en France.
Pour les anomalies autres que bloquantes, le support CONNELINK est assuré en français et en anglais (écrit et parlé) du lundi au vendredi sauf jours fériés de 9h00 à 17h00 (UTC +1).
Le support CONNELINK est disponible en français et anglais (parlé et écrit). Le client ouvrira une demande de service/incident sur le portail 3C onglet support, ou à cette adresse : http://support.3c-cloud.com ou via mail support@3c-cloud.com. Une demande ne sera traitée que si elle est ouverte via le portail 3C ou par mail. Toute nouvelle demande doit être faite par un nouveau mail ; une réponse ou faire suivre d’un ancien échange avec le support 3C ne sera pas pris en compte.
Le support couvre tous les incidents sur le service 3C afin d’en maintenir le service et la disponibilité, et toutes les demandes de services incluses dans l’annexe 9 de ce contrat. Le support utilisateur final direct est assuré par le Client, avec l’aide indirecte du Prestataire (fourniture d’une procédure de résolution).
Le support ne couvre pas les sujets suivants :
- formation des utilisateurs ou des administrateurs locaux
- incidents sur l’infrastructure locale du client (y compris serveurs hybrides 3C locaux)
- la gestion des spams (interfaces client administrateurs et utilisateurs disponibles)
- mauvais paramétrage de la zone DNS du client
- mauvaise manipulation d’un utilisateur
- incident en dehors du périmètre 3C Cloud
- incident ou problème existant déjà avant l’utilisation des services 3C
- cause accidentelle telle qu'incendie, dégâts des eaux, explosion, etc. ...
- défaut de l'installation électrique ou de la qualité du courant fourni,
- déplacement du matériel des systèmes
- défauts sur les terminaux utilisateurs et ou logiciels clients (Navigateur Web, smartphones, Client MS Outlook)
- logiciels et outils tierces en dehors du périmètre 3C.
Le titre de « HCL Ambassador » du Prestataire permet à celui-ci un accès direct par le HCL Ambassador au support HCL niveau 3 pour tout incident de sévérité 1.
Le Prestataire bénéficie du support OVHCloud business.
Pour toute autre demande en dehors du support 3C, le Prestataire propose une offre de consulting spécialisée pour accompagner le Client dans le déploiement et l'intégration de 3C. Le contenu est précisé en Annexe 10.
Chaque développement ou customisation demandé et payé par le client ne peut pas devenir propriétés intellectuelles du client et sera déployé sur le cloud public 3C pour tous les clients. Le Prestataire en sera le seul propriétaire.
2.5 Clause de « Service Level Agreement »
Aux termes du présent contrat, le Prestataire s'engage à garantir la disponibilité et l'accessibilité des solutions logicielles objet du présent contrat.
Pour préserver un seuil maximum de sécurité des données, le Prestataire s'engage à synchroniser et sauvegarder les données sur plusieurs data center distant d’an moins 100 km pour tous les servies 3C.
Le service de messagerie dispose d’une option d’archivage légal à partir du package basic où aucun mail n’est jamais supprimé.
Le service application dispose de sauvegardes biquotidiennes pendant 3 mois puis mensuelles pendant un an.
Les logs sont sauvegardés sur le data center de sauvegarde sans limite de rétention.
Le Prestataire s’engage auprès du Client sur les niveaux de Service suivants :
- Taux de Disponibilité des Services : 99,99 % sur l’année, hors maintenance ou arrêt planifié dans les conditions définies à l’article 10 ;
- Garanti de Temps de Rétablissement (GTR).
Le taux de disponibilités des Services 3C est donné par notre supervision Zabbix à la fin de chaque année de contrat. Chaque service décrit en annexe 2 est monitoré sur toutes ses composant logiciels.
La GTR est fonction de la nature de l’incident ou anomalie.
Il y a trois natures d’anomalies différentes :
- Anomalie Bloquante
- Anomalie Majeure :
toute anomalie autre que bloquante impliquant un fonctionnement dégradé de :
l’accès ou d’envoi des mails internes / internet ;
l’accès à une application et/ou une communauté.
- Anomalie Mineure :
toute autre anomalie autre que bloquante ou majeure.
La garantie de temps de rétablissement selon la nature de l’anomalie est de :
- Anomalie Bloquante : 2 Heures ;
- Anomalie Majeure : 4 Heures ouvrées 9h-17h du lundi au vendredi
- Anomalie Mineure : 8 Heures ouvrées 9h-17h du lundi au vendredi
En HNO (heures non ouvrées), le client peut envoyer un mail au support et/ou ouvrir un incident sur le portail du support.
La garantie d’intervention ne s'appliquera pas dans les cas suivants :
- Défaut de conception d'un logiciel informatique composant 3C à l'origine de l’anomalie (ouverture d’un PMR auprès d’HCL) ;
- Mauvaise manipulation d’un utilisateur.
2.6 Pénalités
2.6.1 Taux de Disponibilité annuel du Service
Le taux de disponibilité annuel du service Td est défini par la formule :
Le montant de la pénalité dû par le Prestataire au Client est déterminé en appliquant un pourcentage au montant total annuel des prestations pour l’année correspondante au défaut de taux de disponibilité. Ce pourcentage est déterminé de la manière suivante :
|
Td |
Pourcentage (P) |
|
< 99,99 % |
5 % |
|
99,5% |
10% |
|
< 99,00 % |
15 % |
|
< 95,00 % |
20 % |
2.6.2 Anomalie bloquante impactant la totalité du Service
Le temps de dépassement « TpsD » est défini par la formule suivante :
Le montant de la pénalité du par le Prestataire au Client est déterminé en appliquant un pourcentage au montant total de la facturation annuelle du Prestataire au client correspondant au défaut de Temps de Rétablissement. Ce pourcentage est déterminé de la manière suivante :
|
TpsD |
Pourcentage (P) |
|
> 24 h |
15 % |
|
> 12 h |
12.5 % |
|
> 6 h |
10 % |
|
> 3 h |
7.5 % |
|
> 0 h |
5 % |
Ces pénalités sont le cas échéant cumulatives avec celles applicables au taux de disponibilité du Service.
Article 3. Durée – Fin du contrat
Le présent contrat est conclu pour une durée ferme d'un (1) an à compter du XXXX, sans tacite reconduction.
Si les parties souhaitent renouveler ou prolonger le présent contrat, elles conviennent de formaliser leur accord par la signature d’un avenant ou d’un nouveau contrat.
En cas de cessation du contrat pour quelque cause que ce soit, le client s'engage sans délai à cesser d'utiliser les codes d'accès aux solutions logicielles hébergées mises à sa disposition, ainsi qu’à désinstaller tous les logiciels installés sur les smartphones, ordinateurs ou serveurs dans le cadre de l’utilisation des services 3C.
L’utilisation du service 3C sera facturé en sus après la fin du contrat si cette clause n’est pas respectée, et au même niveau de souscription, étant entendu que tout mois entamé serait comptabilisé pour 1 mois complet.
Le Prestataire s'engage, quant à lui, à restituer les données appartenant au Client suivant la procédure ci-après décrite dans l’article 13 « Réversibilité ».
Le Prestataire devra alors se mettre à disposition de tout tiers désigné par le Client pour assurer la migration des Services vers ledit tiers désigné, dans les conditions prévues à l’article 13 « Réversibilité ».
Article 4. Obligations du Prestataire
Le Prestataire reconnaît avoir pris connaissance des besoins du Client et s'engage à mettre à sa disposition les solutions logicielles adaptées et les services associés pour répondre au mieux aux attentes de son cocontractant.
Le Prestataire s'engage à garantir un accès permanent aux solutions logicielles mises à disposition dans le cadre du présent contrat.
Le Prestataire s'engage également à assurer l'ensemble des services associés ci-dessus décrits en respectant la clause de Service Level Agreement.
De manière générale, le Prestataire s'engage, en sus de la mise à disposition du Client conformément au présent contrat, à mettre en œuvre tout moyen technique, conforme à l'état de la technique, pour maintenir l'intégrité, la sécurité, la confidentialité des Données du Client, ainsi qu'à garantir la sécurité des accès aux systèmes d'information du Client.
Les parties conviennent que le manquement caractérisé du Prestataire à cette obligation essentielle de sécurité pourra entraîner la résiliation du présent contrat conformément aux dispositions de l'article 12 ci-après.
Article 5. Obligations du Client
Le Client assure avoir pris connaissance, préalablement à la signature des présentes, des caractéristiques techniques des solutions logicielles ainsi que des spécificités pour l'utilisation dudit ou desdits service(s).
Le Client s'engage à n'utiliser les informations concernant les solutions logicielles mises à sa disposition que pour ses besoins propres ou ceux de ses filiales qu’il contrôle au sens de l’article L 233-3 du code de commerce et pour les seules finalités visées au présent contrat.
Tout traitement, transmission, diffusion ou représentation d'informations ou données via les solutions logicielles par le Client, sont effectués sous sa seule et entière responsabilité et dans le strict respect des dispositions légales et réglementaires.
Le Client s'engage, en particulier, à ne traiter, diffuser, télécharger, ou transmettre par l'intermédiaire des solutions logicielles que des informations et données dont l'exploitation ne viole aucun droit de propriété intellectuelle ou industrielle ni tout autre droit privatif, ou ne constitue pas la commission d'une infraction pénale.
De même, le Client s'engage à ne transmettre par l'intermédiaire des solutions logicielles aucun courrier électronique non sollicités, notamment des chaînes de courrier ou des messages publicitaires, ni aucun contenu comprenant des virus informatiques ou tout autre code, dossier ou programme conçus pour interrompre, détruire ou limiter la fonctionnalité de tout logiciel, ordinateur ou outil de télécommunication, sans que cette énumération ne soit limitative.
Vous trouverez plus d’information ici :https://www.altospam.com/actualite/2019/08/comprendre-les-blocages-de-comptes-sur-mailout/
Le Client s'engage à ne pas développer ou commercialiser les solutions logicielles objet du présent contrat ou des produits susceptibles de le concurrencer. En vue d'assurer une collaboration étroite entre les parties, le Client désigne en son sein un responsable chargé d'assurer la communication avec les services du prestataire.
Le Client s'engage en outre à signaler sans délai toute anomalie concernant l'exploitation du système.
Le Client s'engage également à ne pas entraver ou perturber les Services et les serveurs du Prestataire et à se conformer aux conditions requises, aux procédures, aux règles générales qui lui sont communiquées par le Prestataire pour la bonne mise en œuvre des solutions logicielles. Le Client reconnaît donc être le responsable entier et exclusif de son identifiant et de son mot de passe. Il supportera seul les conséquences qui pourraient résulter de l'utilisation par des tiers qui auraient eu connaissance de ceux-ci.
En cas de perte de son mot de passe, le Client s'engage à en informer le Prestataire par écrit dans les meilleurs délais.
Article 6. Propriété des solutions logicielles hébergées
Le présent contrat ne confère au client aucun droit de propriété intellectuelle sur les solutions logicielles, qui demeurent la propriété entière et exclusive du Prestataire ou de l'éditeur qui lui en a concédé le droit de distribution.
A ce titre, le Prestataire se réserve expressément le droit exclusif d'intervenir sur les solutions logicielles hébergées pour leur permettre d'être utilisées conformément à leur destination.
Le Client s'interdit donc formellement d'intervenir ou de faire intervenir un tiers sur les solutions logicielles.
La mise à disposition des solutions logicielles ne saurait être considérée comme une cession au sens du Code de la propriété intellectuelle d'un quelconque droit de propriété intellectuelle au bénéfice du Client.
Article 7. Droits d'utilisation concédés sur les solutions logicielles
Les solutions logicielles hébergées mises à la disposition du Client par le Prestataire doivent impérativement être utilisées dans les conditions ci-après décrites.
Il est rappelé que le Client bénéficie, et pendant toute la durée du contrat, d'un droit non exclusif d'utilisation des solutions logicielles hébergées mises à sa disposition, ce qui exclut, formellement la possibilité de :
- reproduire de façon permanente ou provisoire les solutions logicielles mises à disposition, en tout ou partie, par tout moyen et sous toute forme, y compris à l'occasion du chargement, de l'affichage, de l'exécution ou du stockage du logiciel ;
- de traduire, adapter, d'arranger ou de modifier les solutions logicielles, de les exporter, de les fusionner avec d'autres applications informatiques ;
- d'effectuer une quelconque copie de tout ou partie des solutions logicielles ;
- de modifier, notamment en décompilant, altérer, adapter, notamment en traduisant, arranger et plus généralement modifier tout ou partie des solutions logicielles.
Article 8. Traitement des données du Client
Les parties s'engagent, s'agissant de la collecte et/ou du traitement et de la communication de données à caractère personnel, à respecter la réglementation applicable au traitement desdites données et leurs obligations en la matière (cf. Annexe 11).
Article 9. Sécurité des systèmes d’information
Le Prestataire déclare connaître et s’engager à se conformer aux exigences listées ci-dessous, pendant toute la durée des Prestations :
- recevoir et traiter les données du Client selon les standards du marché applicables en matière de sécurité des systèmes d'information et en conformité avec les lois en vigueur ;
- fournir au Client sur simple demande sa politique de sécurité des systèmes d’information applicable aux Prestations ou toute documentation permettant au Prestataire de démontrer son respect du présent article ;
- faire respecter ses obligations de confidentialité et de sécurité par son personnel, en s'assurant que ces derniers sont eux-mêmes tenus d'une obligation stricte de confidentialité et de sécurité et qu’ils font l’objet de sensibilisations régulières sur la sécurité du système d'information et des règles qui leur sont applicables lorsqu’ils participent à des prestations pour le compte du Client ;
- veiller à ce que toutes les données auxquelles il aurait accès lors de l’exécution des Prestations soient bien protégées et que les éventuels supports électroniques sur lesquelles elles seraient stockées, incluant les sauvegardes, soient bien protégés ;
- à mettre en place dès le début de l'exécution des Prestations les mesures de sécurité adaptées, de façon à garantir la sécurité des données et du système d'information du Client et à ne pas compromettre la sûreté, la sécurité, l’intégrité, la confidentialité et la disponibilité du réseau ;
- alerter le Client immédiatement à l’adresse suivante : xxx@xxx, et dans un délai maximal de quarante-huit (48) heures dès lors qu’un incident de sécurité pouvant concerner les données du Client, son système d’information, ses infrastructures, son réseau ou tout autre système pouvant impacter même indirectement les Prestations fournies (cloisonnement, accès, intrusion, perte d’intégrité, perte de données, etc.) a été détecté ou a été porté à sa connaissance ;
- coopérer avec le Client, sans frais supplémentaires, pour lui permettre de se conformer aux lois applicables et de répondre aux demandes des autorités judiciaires ou administratives.
Afin de démontrer sa conformité aux exigences listées et la bonne mise en œuvre de ces mesures de sécurité, le Prestataire fournit au Client les « Principe de sécurité et de protection des données » qui vaut annexe au Contrat.
Article 10. Conditions financières
En contrepartie de différentes prestations de services assurées par le Prestataire, le Client s'engage à lui verser la somme annuelle et forfaitaire de XXXeuros HT, se décomposant comme précisé en Annexe 1.
Tout rajout d’abonnement au service durant ledit contrat le sera au prorata des moins restant avant la fin du contrat, et facturé dès le dépassement constaté par rapport au premier devis initial en Annex 1.
Il est précisé que le prix de l'abonnement ne comprend pas le coût des télécommunications et d'accès à Internet permettant l'utilisation des solutions logicielles qui restent à la charge du Client.
Les règlements peuvent se faire par virement au plus tard à 30 jours date de facture. Les parties conviennent qu'en cas de non-respect des conditions financières et de règlement, le Prestataire pourra suspendre, après mise en demeure adressée par lettre recommandée avec accusé de réception restée infructueuse pendant un délai de soixante (60) jours, les Services à l'égard du Client, sans préjudice de toute résiliation s'il y a lieu.
Conformément à la réglementation en vigueur, toute somme non payée à son échéance produit de plein droit, à compter de l'échéance, des intérêts de retard calculés sur la base de trois fois le taux d’intérêt légal, conformément aux termes de l’article L 441-10 du code de commerce.
Les prestations supplémentaires non incluses dans le périmètre contractuel éventuellement sollicitées par le Client feront l'objet d'un devis particulier qui devra être signé pour accord par le Client.
Article 11. Garanties et Responsabilité
Le Prestataire garantit qu'il dispose de tous les droits de propriété intellectuelle permettant de conclure le présent contrat et qu'à ce titre, il garantit que les prestations de services qu'il s'est engagé à assurer ne constituent pas une contrefaçon d'une œuvre préexistante, de quelque nature qu'elle soit.
Dans ces conditions, le Prestataire garantit le Client contre toute action en contrefaçon qui serait engagée à son encontre de la part de toute personne invoquant un droit de propriété intellectuelle portant sur l'une quelconque des prestations fournies par le Prestataire ou sur les solutions logicielles hébergées et mises à la disposition du client dans les conditions décrites au présent contrat.
Le Client s'engage quant à lui à signaler immédiatement au Prestataire, toute contrefaçon des solutions logicielles dont il aurait connaissance, le Prestataire étant alors libre de prendre les mesures qu'il jugera appropriées.
Les parties conviennent que le Prestataire prendra à sa charge tous dommages et intérêts auxquels pourrait être condamné le Client par une décision de justice devenue définitive ayant pour base exclusive la démonstration d'une contrefaçon.
Les parties conviennent expressément que le Prestataire ne pourra également être tenu responsable des interruptions de Services ou des Dommages liés :
- à un cas de force majeure ou à une décision des autorités ;
- à une utilisation anormale ou frauduleuse par le Client ou des tiers nécessitant l'arrêt du service pour des raisons de sécurité ;
- à un dysfonctionnement de l’accès au réseau internet du Client ou à une mauvaise utilisation des solutions logicielles par le Client ;
- à la nature et au contenu des informations et données créées et/ou communiquées par le Client ; plus généralement, le Prestataire ne peut en aucun cas être responsable à raison des données, informations, résultats ou analyses provenant d'un tiers, transmises ou reçues au travers de l'utilisation des solutions logicielles hébergées mises à disposition du Client ;
- au fonctionnement du réseau internet ou des réseaux téléphoniques ou câblés d'accès à internet non mis en œuvre par le Prestataire.
Le Prestataire s’engage à mettre en œuvre les moyens de sécurisation conformes aux données actuelles de la technique afin d’éviter toute intrusion, tout maintien frauduleux d’un tiers dans le système, ou l’extraction illicite de données. Le Prestataire ne supporte à ce titre qu’une obligation de moyens au regard des techniques connues de sécurisation.
Le Prestataire ne saurait être tenu responsable des dommages indirects résultant d'une défaillance des Services.
Le Prestataire se réserve la faculté de procéder à des interruptions de service pour les besoins de l'exécution des opérations techniques et de maintenance, et s'engage, à procéder à ces interruptions au cours des périodes de non-utilisation des services par le Client, dans les conditions suivantes :
- La maintenance récurrente (patchs et run) ne donne pas lieu à d’interruption.
- La maintenance exceptionnel (pour des raisons de sécurité/stabilité - critique) se fera avec obligation d’information préalable sans délai mini, majeur : 24h.
- La maintenance planifiée (sans interruption de service) aura 15 jours de prévenance.
- Respect de la GTR
Article 12. Résiliation
La résiliation unilatérale du contrat pourra être prononcée par l'une des parties en cas de manquement grave de l'autre partie dans les conditions suivantes.
Tout manquement grave d'une partie à l'une quelconque des obligations mises à sa charge par le présent contrat, non réparé dans un délai de 30 joursà compter de l'envoi d'une lettre recommandée avec avis de réception, ouvre droit, pour l'autre partie, de se prévaloir unilatéralement de la résiliation de plein droit du présent contrat, sans préjudice de tous dommages et intérêts auxquels elle pourrait prétendre en vertu des présentes.
Par la présente clause, les parties entendent expressément pouvoir mettre en œuvre, par exception aux dispositions des articles 1184 et suivants du Code civil, une telle résiliation extrajudiciaire du présent contrat en lieu et place de sa résolution judiciaire.
En cas d’inexécution par le Prestataire de l’une de ses obligations au titre des présentes, à laquelle il ne serait pas remédié dans les 30 jours calendaires suivant envoi d’une notification RAR, le Client pourra résilier de plein droit le présent contrat.
Article 13. Réversibilité
13.1. Principes d’application
En cas de cessation des relations contractuelles pour quelque cause que ce soit, le Prestataire s'engage à assurer une totale réversibilité des données appartenant au Client, sur le plan technique et à tout mettre en œuvre, sur les plans juridique et humain, afin de permettre au Client de reprendre, ou de faire reprendre par un tiers désigné par elle, l'ensemble des données du Client. Pour le Client, la réversibilité constitue un élément déterminant du Contrat, étant précisé que le Prestataire ne pourra être tenue responsable de la non-restitution des données due à un acte ou une omission incombant au Client ou à l’un des prestataires du Client.
En cas d'expiration ou de résiliation du contrat entre les parties, pour quelque motif que ce soit, le Client sera en droit d'obtenir du Prestataire que ce dernier lui communique toutes les informations qui lui seront nécessaires pour lui permettre de préparer la réversibilité de ses données.
La décision de mettre en œuvre la phase de réversibilité devra être notifiée au Prestataire par lettre recommandée avec accusé de réception au plus tard trente (90) jours avant la date de fin du contrat pour le service messagerie / chat et au plus tard (90) jours avant la date de fin du contrat pour le service collaboratif. La phase de réversibilité débutera au plus tôt à compter de la décision du Client de mettre en œuvre la phase de réversibilité, et pourra, le cas échéant, se poursuivre au-delà de la date prévue de cessation du contrat, moyennant paiement des frais convenus entre les Parties. La phase de réversibilité aura une durée définie conjointement entre les parties en fonction du scénario technique de réversibilité.
Les parties conviennent des dispositions financières suivantes, en ce qui concerne les prestations d'assistance à la réversibilité fournie par le Prestataire, y compris celles relatives au transfert de données :
- si la réversibilité découle d'une résiliation anticipée du présent contrat par suite d’un manquement du Prestataire, les prestations d'assistance à la réversibilité ne seront alors pas facturées au Client ;
- si la réversibilité découle de la survenance d'un cas de force majeure, les coûts de l'assistance à la réversibilité supportés par le Prestataire seront partagés par moitié entre les parties ;
- si la réversibilité découle de toute autre cause d'interruption du présent contrat, les prestations d'assistance à la réversibilité effectuées par le Prestataire seront facturées au Client dans leur intégralité, sur la base des tarifs du Prestataire en vigueur au jour de la résiliation des prestations, après acceptation d'un devis présenté à ce titre au Client par le Prestataire.
13.2. Mise en œuvre de la réversibilité
Quel que soit le motif et le moment de la cessation du contrat, ce dernier poursuit ses effets jusqu’à ce que le Client ait prononcé la recette des prestations de réversibilité, moyennant paiement des redevances dues.
Pendant la phase de réversibilité et jusqu’à la recette des prestations de réversibilité, le Prestataire continue à fournir les Services dans les mêmes conditions de qualité et de sécurité, sans interruption de service, assiste le Client pour la mise en œuvre de la réversibilité.
Le Prestataire doit être partie prenante au projet de réversibilité.
Services messagerie
Le projet de réversibilité des données messagerie, et applications est lancé à la demande du Client au moins un mois avant la fin des services ;
Il consiste à minima à synchroniser sur le LAN du client toutes les boîtes aux lettres et applications de 3C dans le format natif *.nsf d’HCL Digital Solutions ;
Ce projet est compris dans le prix du Service.
Le Client mettra à disposition du Prestataire les serveurs, les systèmes et les accès réseau nécessaire au projet de réversibilité.
Service collaboratif
Le projet de réversibilité des données Connections est lancé à la demande du client au moins 2 mois avant la fin du contrat.
Ce projet n’est pas compris dans le prix du Service et fera l’objet d’une négociation et d’un devis autonome avant la migration des services collaboratifs.
Il consiste :
- soit à synchroniser le contenu vers une autre solution Connections (cloud ou on-premise) ;
- soit à exporter les données sous forme de bases de données et de fichiers vers un serveur client ;
- soit à connecter Connections à l’outil au choix du client.
Le client mettra à disposition les serveurs, les systèmes et le réseau.
Article 14. Prohibition de sollicitation du personnel
Chacune des parties s'interdit d'engager le personnel de l'autre pendant toute la durée du présent contrat et pendant les douze (12) mois qui suivront la cessation de la relation contractuelle.
Le non-respect de cette clause entraîne pour le contrevenant l'obligation de verser à l'autre partie, à titre d'indemnité, le montant équivalent de la rémunération brute perçue par le salarié au cours des douze (12) derniers mois précédents son départ.
Article 15. Incessibilité
Dans la mesure où le Prestataire est le seul titulaire des droits d'exploitation commerciale des solutions logicielles hébergées et mises à la disposition du Client, les parties conviennent que le Client bénéficie d'un droit d'utilisation personnel, ponctuel, incessible et non exclusif.
Dans ces conditions, il est expressément convenu que le présent contrat ne pourra être cédé à un tiers par le Client, sauf accord préalable et écrit du Prestataire.
Article 16. Confidentialité
Chaque partie s'engage à considérer comme confidentiels, et à ne pas reproduire ou divulguer, autrement que pour les seuls besoins d'exécution du contrat, les informations et documents remis par l'autre partie pour la mise en œuvre et au cours de l'exécution du contrat et qui, à raison de leur contenu technique, commercial ou financier devraient être tenus pour confidentiels comme comportant des éléments non divulgués publiquement et/ou purement personnel à la partie concernée.
Article 17. Indivisibilité
Le présent contrat ainsi que ses annexes représentent la totalité et l'intégralité de l'entente intervenue entre les parties.
Il ne pourra être modifié que par un avenant convenu d'un commun accord.
Article 18. Loi applicable et tribunal compétent
Le Contrat est régi par la loi française. Tout litige relatif notamment à la formation, la validité, l’interprétation, l’exécution ou la rupture du présent Contrat relève de la compétence du Tribunal de Commerce de Nanterre, y compris en référés, nonobstant pluralité de défendeurs ou appel en garantie.
Article 19. Election de domicile
Les parties élisent domicile à leur siège social.
Toutes les notifications, pour être valides devront avoir été faites par lettre recommandée avec accusé de réception à l'adresse de domiciliation.
Fait à BORDEAUX (lieu), le XX/XX/20XX (date).
En deux exemplaires originaux.
Le Prestataire,
CONNELINK SA
représenté par Monsieur Guillaume GESNEL (nom de la personne habilitée à signer)
Signature :
Le Client,
XXXX (nom de la société)
représenté par XXX (nom de la personne habilitée à signer)
Signature :
Annexes :
Annexe 1 : Descriptif détaillé des prix
Cf. Choix du client dans la marketplace OVHCloud.
Ou
Fichier « 21XX-XX client - Devis CONNELINK 3C SaaS Public.pdf » joint au présent contrat
Annexe 2 : Présentation de 3C et de ces services
Messagerie et chat essentiel :
Messagerie & Chat :
https://marketplace.ovhcloud.com/p/collaboration/messagerie/connelink-suite-hcl
Web Conférence :
https://marketplace.ovhcloud.com/p/collaboration/communications-unifiees/connelink-3c-web-conference
Collaboration :
Suite bureautique en ligne :
Applications pro-code :
Applications Low-code :
Sauvegarde HCL Domino :
Gestion des terminaux mobiles :
Applications mobiles :
Annexe 3 : Hébergement et infogérance OVHCloud
https://www.ovh.com/fr/support/contrats/ :
Toutes les Conditions générales
Annexe 4 : service antispam OKTEY
Niveau de service OKTEY : https://www.altospam.com/actualite/2008/06/sla-altospam/
Annexe 5 : Licences HCL
Contrat cadre licence HCL (master licence) :
Licences produits : https://www.hcltechsw.com/wps/portal/resources/license-agreements
HCL CONNECTIONS 6.5 CR1
HCL CONNECTIONS 7.0
HCL CONNECTIONS COMPONENT PACK 6.5 CR1
HCL CONNECTIONS COMPONENT PACK 7.0
HCL CONNECTIONS DOCS 2.0.1
HCL CONNECTIONS ENGAGEMENT CENTER 6.5
HCL DOMINO COMPLETE COLLABORATION 12.0
HCL DOMINO DESIGNER 10.0.1.2 (TOOL)
HCL DOMINO ENTERPRISE 12.0
HCL DOMINO APPDEV PACK 1.0.1 (TOOL)
HCL NOTES DOMINO COMPLETE COLLABORATION 11.0
HCL DOMINO VOLT 1.0.3
HCL SAMETIME 11.0
HCL SAMETIME CONNECT CLIENT V. 10.0 (ENTITLEMENT)
HCL SAMETIME PREMIUM CCB 11.6
HCL BIGFIX MOBILE 10.0
HCL VOLT MX ACCELERATOR PACKAGED SERVICE DESCRIPTION
HCL VOLT MX LICENSE AGREEMENT
Annexe 6 : Pré requis techniques
Avoir un ADFS ou équivalent si besoin de faire du SAML.
La solution antispam incluse dans 3C est obligatoire.
Exclure les URL, protocoles et porte 3C du filtrage proxy local, firewall et VPN.
Ajouter les URL d'accès 3C comme site de confiance dans les navigateurs des utilisateurs (GPO).
Ouvertures des ports entre le LAN et Internet : 443 (https), 80 (http redirigé vers https), 1352 (Notes), 1533 (sametime), 993 (IMAP), 25 (SMTP sortant pour IMAP).
Chaque application interne qui envoie des mails SMTP à 3C doit avoir une adresse mail émettrice existante afin de recevoir les échecs de distribution.
Les clients IMAP et applications externes au LAN doivent se connecter à 3C en SMTP chiffré et signé uniquement.
Activation du chiffrement sur les smartphones (pourra être demander à l’utilisateur au moment de l’installation si le smartphone est ancien).
Navigateur web supporté : MS Edge, Chrome ou Firefox.
Mise à jour des LCE Domino locales pour rajouter les serveurs Domino 3C.
Si le client n’a pas souscrit à l’option messagerie hybride dégradée locale ou l’option application pro-code hybride dégradée locale, il ne doit y avoir aucun serveur local chez le client avec un logiciel HCL (cf. liste Annexe5). Dans le cas contraire, le client devra s’acquitter du la licence du droit d’utilisation auprès d’HCL.
Toutefois, un ou plusieurs serveurs locaux avec le logiciel HCL DOMINO sont autorisés à condition :
- de ne pas stocker de données sur ces serveurs (mail, archives, applications Domino)
- de n’utiliser que les services Domino SMTP, Update, Replica, HTTP, Router, AMgr, AdminP, et LDAP
Si le client a souscrit à l’option messagerie hybride dégradée locale ou l’option application pro-code hybride dégradée locale :
- les données ne seront accessibles localement par aucun utilisateur si internet est actif
- si internet n’est pas accessible, les données seront rendues disponibles automatiquement via les protocoles HTTP et/ou NRPC.
Le client est responsable de sa stratégie d’expiration et de qualité des mots de passe utilisateurs pour accéder aux services 3C. Il peut à tout moment la communiquer au support 3C (support@3c-cloud.com) pour implémentation dans le service.
Annexe 7 : Limitations techniques
Général :
Le support 24/24 7/7 ne concerne pas la maintenance des applications Domino, juste leur disponibilité.
Aucun accès utilisateur supérieur à éditeur sur une base Domino nsf.
Historique des salles et réservations limité à 1 an en arrière.
Messagerie :
La limite de la taille des pièces jointes est de 40 Mo pour tout le cloud public.
Les règles de messagerie « faire suivre automatiquement à une autre personne » sont interdites (internes et externes).
Disparition des OU Domino (re certification de masse sous une seule organisation).
Le client Outlook n’est pas utilisable sur MAC.
Il n’est pas possible de faire du SAML avec les applications de courriers natives Android ou IPhone.
Le protocole non sécurisé POP3 n’est pas accepté.
Les clients lourds synchronisent automatiquement 2 ans de mail maximum avec pièces jointes.
Un utilisateur ne pourra recevoir ou envoyer de mail que sur une adresse mail ou un alias déclaré dans le système 3C.
Les groupes internes peuvent contenir des externes mais à usage interne uniquement.
Pas de groupe Domino multi purpose.
Pas d'archive locale sur les postes.
Les fichiers zip chiffrés venant d'internet ne sont pas acceptés.
Un mail ne peut contenir que 500 destinataires maximum.
Pas de chiffrement et de signature numérique pour la messagerie essentielle
Chat :
Uniquement 90 jours de chat sont conservés.
La taille des fichiers envoyés est limitée à 100 Mo.
Applications :
Critères d’éligibilité des applications Domino pour 3C :
- Pas d’ODBC
- Pas de LEI
- Pas d’agent Domino avec des opérations sur le système (création de fichiers)
- Pas d’appel java système
Pas d’archivage légal des applications Domino et des communautés.
Annexe 8 : Impacts techniques
Nouveau password web.
Reconfiguration des clients lourds Notes existant via un bouton dans un mail (action utilisateur).
Reconfiguration des clients mail mobile, Outlook, desktop plugin et Connections mobile. A désinstaller et ré installer.
Re générations des clés publiques des anciens ID Notes trop faibles à la première connexion (l’utilisateur doit accepter la demande).
Re certification par CONNELINK de tous les fichiers ID utilisateurs afin de monter la sécurité des clés publiques et privées.
Pas de reprise des contacts favoris dans le chat, il faudra les recréer.
Les utilisateurs ne seront pas tous sur la même communauté sametime pendant la bascule entre les 2 systèmes.
Alertes LCE sur les clients Notes si la LCE n'a jamais été initialisée.
Délai échange mail car réplication entre 3C et le local (pour POC)
Fusion des archives on premise et sur 3C (en cas d'hybride)
Pas de service de réservation de salles dans le POC
Nouveau rapport de spam journalier
Suppression des comptes administrateur Domino on premise
Suppression des phrases RFC822 à l'envoi pour raison de sécurité. Le prénom/nom ne sera pas envoyé dans l’émetteur, uniquement que l’adresse mail.
Suppression de l’affichage dans le client lourd du nom complet Notes avec les sous certificats. Il n’y aura plus que des adresses internet (cohérence avec le mobile et le Webmail).
Disparition des OU Domino (re certification de masse sous une seule organisation).
Annexe 9 : Demandes de services incluses dans le support 3C
CRUD (création, renommage, mise à jour et suppression) des utilisateurs physiques internes et externes.
CRUD boîtes aux lettres génériques
CRUD redirections
CRUD groupes (inclus la mise à jour des droits d’accès aux applications)
CRUD annuaires secondaires
CRUD salles et ressources
Ré initialisation des password utilisateurs avec un mot de passe temporaire
Mise à jour langue du modèle de messagerie
Restauration d’un ou plusieurs mails
Récapitulatif du stockage utilisé et des packages attribués
Une interface est aussi disponible au niveau de l’antispam :
Listes noires et blanches des antispam
Filtres de publicité
Annexe 10 : Consulting 3C
Le prestataire propose une offre de consulting spécialisée pour accompagner le client dans le déploiement et l'intégration de 3C dans son entreprise
Voici le contenu non exhaustif des prestations proposées par l’équipe consulting :
- mise en place d'un POC pour un ou plusieurs service SaaS 3C
- gestion et suivi de projet
- études des prérequis techniques 3C
- définition fonctionnelle de 3C pour les utilisateurs
- définition d’architecture logicielle et technique 3C
- analyse de risques, PAQ, étude d'impacts
- formations administrateurs
- conduite du changement utilisateur
- paramétrage et déploiement des services SaaS 3C
- migration de données
- développement des customisations
- participation aux différentes phases de tests et recettes
- procédures de déploiement logiciels
- mise en œuvre de 3C et/ou des customisations
- intégration avec d'autres systèmes
Cette offre de service annexe est à engagement de moyen pour un minimum d’une heure d’intervention.
Annexe 11 : Principes de sécurité et de protection des données pour les services cloud CONNELINK 3C
Les mesures techniques et organisationnelles indiquées dans le présent document relatif à la Sécurité et la Protection des Données (DSP) s'appliquent aux services Cloud 3C, y compris les applications, plateformes et composants d'infrastructure sous-jacents exploités et gérés par CONNELINK dans le cadre de la fourniture du service Cloud (composants), sauf dans les cas où le Client est responsable de la sécurité et de la confidentialité et sauf mention contraire dans un document annexe.
Le Client est responsable de :
1) déterminer si le service Cloud 3C est adapté ou non à l'utilisation qui en est faite par le Client
2) mettre en œuvre et gérer des mesures de sécurité et de confidentialité pour des éléments non fournis et non gérés par CONNELINK dans le service Cloud 3C décrit dans le Contrat.
Les mesures implémentées et gérées par CONNELINK dans le cadre de chaque service Cloud 3C seront soumises à une certification annuelle de la conformité aux normes et standards ISO/IEC 27001:2005 (sécurité), ISO27018 (Cloud data privacy protect), ISO27017 security and control cloud), SOC1 TYPE 1 (service controls report), SOC1 TYPE 2 (service controls report) et EU MODEL CLAUSES (Data resilience in EU).
CONNELINK s’engage à respecter le règlement 2016/679 dit règlement général sur la protection des données (RGPD) établi par l’union européenne (DPO nommé et processus en place). Vos données ne sont jamais accédées ou utilisées pour du data mining ou des finalités différentes de celles énoncées à la présente annexe. Les administrateurs CONNELINK n’ont pas accès aux données.
DPO joignable par mail à : dpo@connelink.fr
Protection des données
1. Les mesures de sécurité et de confidentialité destinées à chaque service Cloud 3C sont conçues conformément aux pratiques CONNELINK de sécurité afin de protéger le contenu entré dans un service Cloud 3C et pour maintenir la disponibilité dudit Contenu conformément au Contrat. Le Client est le seul responsable du traitement des données personnelles incluses dans le Contenu et désigne CONNELINK comme sous - traitant du traitement desdites données personnelles (tels que ces termes sont définis dans le Règlement Général sur la Protection des Données de l'UE, Règlement (UE) 2016/679). Sauf disposition contraire demandée par le Client, CONNELINK traitera l'ensemble du Contenu comme étant confidentiel en ne divulguant le Contenu à aucun employés, sous-traitant, ou tiers ou autre service Cloud non 3C.
2. CONNELINK assurera en toute sécurité l'expurgation des supports physiques destinés à être réutilisés avant toute réutilisation et détruira les supports physiques non destinés à être réutilisés. CONNELINK fournira à l’issue de ces purges ou destruction, un certificat attestant du bon respect de ces obligations.
3. Sur demande, CONNELINK apportera une preuve de la conformité et de l'accréditation énoncées, par exemple des certificats, attestations ou rapports résultant des audits de tiers agréés indépendants. Le cas échéant, les audits de tiers agréés indépendants auront lieu à la fréquence requise par la norme applicable, afin de maintenir la conformité et l'accréditation énoncées du service Cloud 3C.
4. Des informations supplémentaires sur la sécurité et la confidentialité spécifiques à un service Cloud 3C peuvent être mise à disposition du Client sur simple demande à CONNELINK. Ces informations peuvent comprendre des preuves d'accréditations et de certifications déclarées, des informations relatives auxdites accréditations et certifications, des schémas techniques d’architecture (sous disclaimer) et d'autres documentations.
Règles de sécurité
1. CONNELINK gérera et respectera les politiques et pratiques en matière de sécurité informatique qui font partie intégrante des activités de CONNELINK et sont obligatoires pour tous les employés de CONNELINK. CONNELINK assumera la responsabilité et la supervision de l'exécution de ces politiques, notamment la gouvernance formelle et la gestion des révisions, la formation des employés et l'application de la conformité.
2. CONNELINK passera en revue ses politiques de sécurité informatique au moins une fois par an et les modifiera telles qu'elle le juge raisonnable pour maintenir la protection des services Cloud 3C et le Contenu traité dans les services Cloud 3C.
3. CONNELINK gérera et respectera ses obligations d'attestation d'emploi standard pour tous les employés. Tous les travaux et prestations qui seront réalisés avec des salariés de nationalité française, employés régulièrement au regard des dispositions du code du travail français. CONNELINK respecte l'obligation prévue à l'article R1263-12-1 du code du travail relatif au travail détaché. CONNELINK respecte l’obligation d’emploi mentionnée aux articles L 5212-1 à L 5212-11 du code du travail
4. Les employés CONNELINK effectueront annuellement une formation dans les domaines de la sécurité et la confidentialité. Une formation supplémentaire sur les politiques et processus sera dispensée aux personnes ayant un accès administrateur aux composants des services Cloud 3C dans le cadre de l'exploitation et de la prise en charge du service Cloud 3C par CONNELINK.
Incidents de sécurité
1. CONNELINK gérera et respectera les politiques de résolution d'incident documentées et respectera les dispositions relatives à la notification de violation de données conformément aux conditions stipulées au Contrat.
2. CONNELINK enquêtera sur les accès non autorisés et l'utilisation non autorisée du contenu dont CONNELINK viendrait à avoir connaissance ainsi que sur tout autre incident de sécurité portant atteinte à la confidentialité, disponibilité, intégrité et traçabilité des données du Client et, dans le cadre du service Cloud 3C, CONNELINK définira et exécutera un plan d'intervention approprié qu’il communiquera au Client et mettre en œuvre dans les plus brefs délais. Le Client peut notifier à CONNELINK une vulnérabilité ou un incident présumé en soumettant une demande de support technique.
3. CONNELINK notifiera au Client, sans retard injustifié et dans un délai maximal de 48 heures, un incident de sécurité connu ou raisonnablement présumé par CONNELINK comme ayant un impact sur le Client. CONNELINK fournira au Client des informations demandées sur ledit incident de sécurité et sur l'état de toutes activités de résolution et de restauration de CONNELINK. Il communiquera au Client le plan d’action correctives et le mettra en œuvre dans les plus brefs délais.
Sécurité physique et contrôle d'entrée
1. CONNELINK héberge son service Cloud 3C sur la plate-forme OVHCloud, dans un seul pays par client. Les contrôles opérés par OVHCloud sont présentés ici : https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml
2. Les applicatifs et données clients présents sur OVHCloud pour fournir le service Cloud 3C sont entièrement chiffrés par des clés dont seul CONNELINK en possède les mots de passe. Les clés sont changées tous les ans, les mots de passe sont d’un niveau très complexe et le type de chiffrement est le plus élevés possible.
Contrôle d'accès, d'intervention, de transfert et de séparation
1. CONNELINK gérera l'architecture de sécurité documentée des réseaux gérés par CONNELINK lors de l'utilisation du service Cloud 3C. CONNELINK passera en revue séparément ladite architecture de réseau, y compris les mesures destinées à empêcher les connexions réseau non autorisées aux systèmes, applications et périphériques réseau, afin d’en garantir la conformité en matière de segmentation sécurisée, d'isolement et de protection complète avant l'implémentation. CONNELINK n’utilisera en aucun cas la technologie de réseau sans fil dans le cadre de la gestion et la prise en charge du service Cloud 3C et des composants associés. CONNELINK maintiendra, pour un service Cloud 3C, des mesures destinées à séparer logiquement le Contenu et à empêcher que ce dernier soit exposé ou accessible aux personnes non autorisées. CONNELINK maintiendra une isolation appropriée de ses environnements de production et hors production et, si le Contenu est transféré vers un environnement hors production, par exemple pour reproduire une erreur à la demande du Client, la protection en termes de sécurité et de confidentialité dans l'environnement hors production sera équivalente à celle de l'environnement de production.
2. CONNELINK chiffrera tout le contenu stocké. CONNELINK maintiendra des procédures documentées pour la génération, l'émission, la distribution, le stockage, la rotation, la révocation, la restauration, la sauvegarde, la destruction, l'accès et l'utilisation sécurisés des clés.
3. CONNELINK ne requerra jamais l’accès au contenu client.
4. Conformément aux normes standard du secteur d'activité et dans les limites nativement prises en charge par chaque composant géré par CONNELINK au sein du service Cloud 3C, CONNELINK maintiendra des mesures techniques imposant un délai d'expiration pour les sessions inactives, le verrouillage des comptes après plusieurs échecs de tentative de connexion successifs, l'authentification à l'aide d'un mot de passe ou une phrase passe fiable, ainsi que des mesures nécessitant le transfert et le stockage sécurisés desdits mots de passe et phrases passe.
5. CONNELINK surveillera l'utilisation des accès privilégiés et tiendra à jour les informations de sécurité et les mesures de gestion d'événement destinées à : a) identifier les accès et activités non autorisés ; b) faciliter une réponse rapide et appropriée et c) permettre des audits de tiers internes et indépendants de la conformité aux politiques CONNELINK.
6. Les logs dans lesquels les activités et accès privilégiés sont consignés seront conservés sans limite de rétention. CONNELINK gérera des mesures de protection contre l'accès non autorisé, la modification et la destruction accidentelle ou délibérée desdits logs.
7. Dans les limites prises en charge par les fonctionnalités natives des périphériques et du système d'exploitation, CONNELINK gérera des dispositifs de protection informatique pour ses systèmes d'utilisateur final comprenant notamment des pares-feux, le chiffrement de disque complet, la détection et la suppression de logiciels malveillants avec signature et les verrouillages d'écran temporels.
Contrôle d'intégrité et de disponibilité des services
1. CONNELINK s'engage à a) réaliser des évaluations des risques liés à la confidentialité et à la sécurité de ses services Cloud 3C, au moins une fois par an ; b) réaliser des tests d'intrusion et des évaluations de vulnérabilité, notamment l'analyse automatisée de la sécurité des systèmes et applications ainsi que le piratage éthique manuel avant la mise en production et tous les ans par la suite ; c) faire appel à un tiers indépendant agréé pour réaliser les tests d'intrusion au moins une fois par an ; d) assurer la gestion automatisée et la vérification de routine de la conformité des composants sous-jacents aux exigences de configuration des paramètres de sécurité et e) résoudre les vulnérabilités détectées ou la non-conformité à ses exigences en matière de configuration des paramètres de sécurité en fonction des risques associés, de l'exploitabilité et des impacts. CONNELINK, fournira ses meilleurs efforts pour éviter l'interruption du service Cloud 3C lorsqu'elle réalise ses tests, évaluations, analyses et activités de résolution et en informera le Client au minimum 7 jours ouvrés avant. Dans tous les cas les articles 2.8 et 2.9 du Contrat s’appliqueront.
2. CONNELINK gérera des politiques et procédures destinées à gérer les risques associés à l'application de modifications à ses services Cloud 3C. Avant l'implémentation, les modifications apportées à un service Cloud 3C, y compris ses systèmes, réseaux et composants sous-jacents, seront consignées dans une demande de modification enregistrée comprenant la description et le motif de la modification, les détails et le planning de l'implémentation, une déclaration de risque abordant l'impact sur le service Cloud 3C et ses clients, les résultats attendus, le plan de retour arrière et l'accord documenté du personnel autorisé.
3. CONNELINK gérera un inventaire de tous les actifs informatiques utilisés lors de l'utilisation du service Cloud 3C. CONNELINK surveillera et gèrera en continu l'état, y compris la capacité, et la disponibilité du service Cloud 3C et des composants sous-jacents.
4. Chaque service Cloud 3C sera évalué séparément quant aux exigences en matière de continuité des opérations et de reprise après incident conformément aux directives de gestion des risques documentées. Chaque service Cloud 3C comportera, dans les limites garanties par ladite évaluation des risques, des plans de continuité des opérations et de reprise après incident séparément définis, documentés, gérés et annuellement validés, conformément aux pratiques en vigueur dans le secteur d'activité. Les objectifs de temps de reprise du service Cloud 3C seront établis en tenant compte de l'architecture et de l'usage prévu du service Cloud 3C.
5. CONNELINK maintiendra des mesures destinées à évaluer, tester et appliquer des correctifs de recommandation de sécurité au service Cloud 3C et aux systèmes, réseaux, applications et composants sous-jacents associés au service Cloud 3C dans le périmètre du service Cloud 3C. Une fois que CONNELINK détermine qu'un correctif de recommandation de sécurité est applicable et approprié, elle l'appliquera conformément aux directives d'évaluation des risques et gravités. L'application des correctifs de recommandation de sécurité sera soumise aux politiques de CONNELINK en matière de gestion des modifications.
Sécurité et protection des données des services cloud annexes utilisés par 3C
Antispam : https://www.altospam.com/fr/mentions-legales.php
OVHCloud : https://www.ovh.com/fr/protection-donnees-personnelles/securite.xml
*** FIN DU DOCUMENT ***
