Conditions générales de vente : Patrowl

Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
2
1 CONDITIONS GENERALES D'UTILISATION
(CGU)
1.1 CGU "Préambule - le Logiciel est un programme
d'ordinateur standard"
1.1.1 PATROWL a conçu et développé une application logicielle, standard et paramétrable
(le "Logiciel"), accessible en ligne, qui permet d'automatiser la détection de
Vulnérabilités et d'Incidents de sécurité dans le Système d'Information du CLIENT.
1.1.2 Le CLIENT souhaite pouvoir utiliser le Logiciel en ligne et, de manière générale,
bénéficier des services proposés par PATROWL dans les conditions qui suivent.
1.2 CGU "Préambule - expression des besoins du CLIENT"
1.2.1 PATROWL attire l'attention du CLIENT sur le fait que le Service est un service
standard conçu pour des entreprises de taille variable exerçant dans des secteurs
d'activité différents. Il appartient dès lors au CLIENT, avant la signature du Contrat (i)
de vérifier que le Logiciel correspond à la définition de ses besoins et (ii) de s'assurer
que le Logiciel est dimensionné dans une mesure qui lui permette de remplir ses
objectifs professionnels que PATROWL ne saurait connaître.
1.2.2 Pour le cas où le CLIENT n'aurait pas (i) procédé et remis à PATROWL une analyse
préalable et écrite de ses besoins ou (ii) transmis par écrit à PATROWL le détail des
informations déterminantes de son consentement ou (iii) fait part par écrit à PATROWL
de la totalité des qualités essentielles explicites de la prestation qu'il attend de
PATROWL , le CLIENT reconnaît que la proposition contractuelle de PATROWL
vaudra par défaut expression de ses besoins, renonçant ainsi notamment à toute
qualité essentielle implicite de la prestation de PATROWL que PATROWL ne saurait
connaitre.
1.3 CGU "Définitions"
1.3.1 En plus des termes définis en tant que de besoin dans le Contrat, les termes dont la
première lettre figure en majuscule ont, dans le Contrat, le sens qui leur est attribué
ci-dessous.
1.3.2 "Administrateur" désigne un Collaborateur qui dispose de privilèges qui lui sont
accordés sur le Système d'Information du CLIENT afin de prendre des "actions
d’installation, de suppression, de modification et de consultation de la configuration
susceptibles [d'en] modifier le fonctionnement ou la sécurité" (recommandations
ANSSI PA022 v2/2018). Seul un Administrateur peut avoir accès au Service, mais en
aucun cas les autres Collaborateurs.
1.3.3 "Bug" a le sens défini à l'article CGU "ANNEXE Maintenance - définitions".
1.3.4 "Base de Données" désigne l'ensemble des données numériques collectées et
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
3
traitées par PATROWL depuis le Système d'Information du CLIENT dont le CLIENT
est le seul et unique "producteur" (les Données INPUT).
1.3.5 "Collaborateurs" désigne un salarié, un stagiaire, un intérimaire ou un mandataire
social d'une partie, ou de l'un de ses prestataires de services, mandataires, soustraitants,
et/ou de toute personne physique ou morale qui contrôle ou qui est contrôlé
(au sens l’article L.233-3 du Code de Commerce) par cette partie et que cette partie
autorise à utiliser le Logiciel.
1.3.6 "Contrat" désigne l’ensemble indivisible des stipulations signées par le CLIENT
constitué par (i) un Bon de Commande et (ii) les présentes Conditions Générales
d'Utilisation (CGU), préambule et annexes compris, ainsi que tout avenant qui viendrait
compléter, modifier ou se substituer à l'un de ces documents. Le Contrat annule et
remplace tous les accords précédents, verbaux ou écrits, conclus entre les parties et
concernant les prestations incluses dans la définition du Service.
1.3.7 "Directive Base de Données" désigne la Directive n°96/9/CE du 11 mars 1996 et la
loi n°98-536 du 1er juillet 1998.
1.3.8 "Directive Logiciel" désigne ensemble la Directive n°91/250/CEE du 14 mai 1991, la
Directive 2009/24/CE du 23 avril 2009 et la loi n°94-361 du 10 mai 1994.
1.3.9 "Directive Secrets des Affaires" a le sens défini à l'article CGU "Confidentialité et
Secrets d'Affaires".
1.3.10 "Données" désigne les données numériques du CLIENT, à caractère personnel ou
non, extraites du Système d'Information du CLIENT pour traitement par le Logiciel (les
"Données INPUT"), ainsi que les résultats du traitement des Données INPUT par le
Logiciel (les "Données OUTPUT").
1.3.11 "Incident de Sécurité" désigne une Vulnérabilité avérée, en l'état de l'art,
compromettant le fonctionnement attendu par le CLIENT de son Système
d'Information et constituant, par exemple et de manière non limitative, une atteinte à
un système de traitement automatisé de données au sens des articles 323-1 à 323-3
du Code pénal, une violation de données à caractère personnel au sens de l'article 4
RGPD, etc.
1.3.12 "Législation sur les données personnelles" a le sens défini à l'article CGU
"Traitement des données de contact des Collaborateurs".
1.3.13 "Licence d'Utilisation" désigne le droit pour le CLIENT (i) d'utiliser le Logiciel par le
CLIENT décrit à l'article CGU "ANNEXE - Licence d'Utilisation du Logiciel" et (ii) de
bénéficier des prestations décrites à l'article CGU "ANNEXE - Centre d'Expertise
PATROWL".
1.3.14 "Logiciel" désigne l’ensemble des modules du programme d'ordinateur, ainsi que tout
correctif d'urgence (hot fix, patch) et toute nouvelle version mineure (update) ou
majeure (upgrade) du Logiciel livré par PATROWL au CLIENT dans le cadre du
Contrat, en version binaire (exécutable) seulement, dont une Licence d'Utilisation est
concédée au CLIENT au titre du Service. Le Logiciel n'est accessible qu'à distance,
par connexion du CLIENT à la Plateforme d'Hébergement via un réseau de
communications électroniques. La description détaillée des modules qui composent le
Logiciel concédé en Licence d'Utilisation au CLIENT figure dans le Bon de
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
4
Commande. Le détail de la Licence d'Utilisation du Logiciel est fixé à l'article CGU
"ANNEXE - Licence d'Utilisation du Logiciel".
1.3.15 "Maintenance" a le sens défini à l'article CGU "ANNEXE - Maintenance".
1.3.16 "Mise en oeuvre technique" désigne la phase préparatoire nécessaire à la Mise en
Service du Service, qui permet à PATROWL de préparer une instance de son Logiciel
spécialement pour le CLIENT et de dimensionner le Service dans la mesure décrite
dans le Bon de Commande.
1.3.17 "Mise en Service" désigne la date fixée dans un Bon de Commande à compter de
laquelle le Service est accessible en ligne par le CLIENT, dans des conditions réelles
d'exploitation.
1.3.18 "Plateforme d'Hébergement" désigne (i) l'ensemble des matériels et logiciels du
datacenter d'hébergement à partir duquel le Service est rendu au CLIENT Le
professionnel opérant la Plateforme d'Hébergement en sous-traitance de PATROWL
est identifié dans le Bon de Commande.
1.3.19 "Redevance" désigne la somme due par le CLIENT à PATROWL en contrepartie du
droit d'utiliser le Service, hors prestations complémentaires d'Assistance identifiées
comme telles dans un Bon de Commande (phase de mise en oeuvre technique,
formation, Livrables spécifiques, etc.). Le délai de paiement des factures de
Redevance du Service est fixé dans le Bon de Commande.
1.3.20 "Service" désigne le droit pour le CLIENT de :
(i) accéder à la Plateforme d'Hébergement pour utiliser le Logiciel en mode
"Cloud" ou "Software as a Service" afin de traiter les Données INPUT du CLIENT et
d'obtenir la restitution des Données OUTPUT ;
(ii) bénéficier des prestations de stockage et de sauvegarde sur la Plateforme
d'Hébergement (a) du Logiciel et (b) des Données INPUT et OUTPUT du CLIENT ;
(iii) bénéficier des prestations accessibles depuis le Centre d'Expertise
PATROWL et décrite à l'article CGU "ANNEXE - Centre d'Expertise PATROWL".
1.3.21 "Système d'Information" désigne pour le CLIENT (i) "tout ensemble de dispositifs
interconnectés" via un réseau de communications électroniques "dont un ou plusieurs
éléments assurent, en exécution d'un programme" d'ordinateur, "un traitement
automatisé de données numériques" et (ii) "les données numériques stockées,
traitées, récupérées ou transmises" par ces dispositifs via un réseau de
communications électroniques "en vue de leur fonctionnement, utilisation, protection
et/ou maintenance" (art. 1er loi "N.I.S." du 26 février 2018) (iii) qui sont la propriété ou
sous le contrôle du CLIENT et (iv) plus généralement, tout dispositif matériel et/ou
logiciel, interne ou externe à l'entreprise du CLIENT, nécessaire au bon
fonctionnement de son Système d'Information (climatisation, alimentation électrique,
etc.) et utilisé pour bénéficier du Service.
1.3.22 "Traces" désigne toute forme de trace informatique (de type adresse IP, nom de
domaine, adresse URL, empreinte cryptographique, nom de fichiers ou de codes
malveillants, donnée contenue dans des codes malveillants ou dans les bases de
registre du système, etc.), qui, combinées entre elles, sont susceptibles de constituer
un indicateur de compromission (ou "IoC") identifiant une Vulnérabilité connue ou un
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
5
Incident de Sécurité. Les Traces sont des Informations confidentielles au sens de
l'article CGU "Confidentialité et Secrets d'Affaires".
1.3.23 "Vulnérabilité" désigne une menace potentielle, en l'état de l'art, "dans les
spécifications, la conception, la réalisation, l’installation, la configuration ou l'utilisation"
de tout ou partie d’un Système d'Information (glossaire de l'ANSSI). Toute Vulnérabilité
qui ne serait pas notoirement publique (par exemple, publication officielle par le CERT
FR ou l'éditeur du logiciel concerné, etc.) est une Information confidentielle au sens de
l'article CGU "Confidentialité et Secrets d'Affaires".
1.3.24 "Actifs" désigne les éléments fourni et validé par le CLIENT qui sont contrôlés et
analysés par la solution PATROWL. Ces éléments peuvent être une adresse IP, un
nom de domaine, un mot clef ou un FQDN.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
6
2 CGU "OBJET DU CONTRAT"
2.1 CGU "Objet du Contrat - droit d'utiliser le Service"
2.1.1 Le Contrat a pour objet de définir les conditions dans lesquelles PATROWL assure le
Service au profit du CLIENT en contrepartie du paiement de la Redevance. L'utilisation
du Service est concédée au CLIENT pour traiter ses Données INPUT, pour les seuls
besoins de son entreprise.
2.1.2 Pendant la durée du Contrat, le CLIENT a :
(i) le droit d’utiliser le Logiciel installé sur la Plateforme d'Hébergement,
seulement au profit d'un ou plusieurs Administrateurs nominativement
identifié par PATROWL;
(ii) le droit de bénéficier des prestations d'hébergement (stockage et
sauvegarde) du Logiciel et de ses données sur la Plateforme d'Hébergement
;
(iii) le droit de bénéficier des prestations décrite à l'article CGU "ANNEXE -
Centre d'Expertise PATROWL";
(iv) le droit de bénéficier des prestations décrite à l'article CGU "ANNEXE -
Reporting PATROWL";
(v) le droit de bénéficier des prestations décrite à l'article CGU "ANNEXE –
Rejeux manuels PATROWL";
(vi) le droit de bénéficier des prestations décrite à l'article CGU "ANNEXE – Tests
avancés complémentaires PATROWL";
(vii) le droit de bénéficier des prestations de Mise en OEuvre listées dans le Bon
de Commande.
2.1.3 Les prestations comprises dans la définition du Service forment un tout indivisible pour
PATROWL.
2.1.4 PATROWL rappelle au CLIENT que le Service est accessible via un logiciel de
navigation web (browser) et ne nécessite de ce fait l'installation d'aucun logiciel par
PATROWL dans le Système d'Information du CLIENT.
2.2 CGU "Objet du Contrat - Conditions d'exécution du
Service"
2.2.1 Au cours de l'exécution du Service, PATROWL s'engage formellement (i) à ne
procéder à aucune extraction, même temporaire, de tout ou partie des données
contenues dans une quelconque des bases de données dont le CLIENT serait le
producteur/fabricant au sens de la Directive Base de Données et (ii) à respecter
strictement les dispositions des articles 323-1 à 323-3 du Code pénal.
2.2.2 S'agissant d'un service rendu à titre professionnel, le CLIENT autorise expressément
PATROWL à recourir librement, à ses frais et "de manière légitime", à l'utilisation de
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
7
tout "équipement, instrument, programme informatique ou donnée" de son choix,
seulement à des fins de "recherche ou de sécurité informatique" (art.323-3-1 Code
pénal).
2.2.3 PATROWL s'engage à prendre toutes les dispositions raisonnables, conformément à
l'état de l'art, pour anticiper et prévenir d'éventuelles perturbations du fonctionnement
du Système d'Information du CLIENT du fait de la prestation du Service.
2.2.4 Afin de limiter, autant que possible, ces éventuelles perturbations, le CLIENT s’engage
à définir précisément le périmètre du Système d'Information à auditer en prenant en
considération les éléments de son Système d'Information dont il a mesuré et accepté
les risques de perturbations ou qui ne sont pas susceptibles d'impacter directement la
production de ses produits ou services.
2.2.5 CONFORMEMENT AUX REGLES DE PRUDENCE EN MATIERE INFORMATIQUE,
LE CLIENT S'ENGAGE A EFFECTUER REGULIEREMENT UNE SAUVEGARDE
COMPLETE DE SON SYSTEME D'INFORMATION, ET AU MOINS VINGT-QUATRE
(24) HEURES AVANT LE DEBUT DU SERVICE.
2.3 CGU "Objet du Contrat - rapport de sécurité"
2.3.1 PATROWL fournira au CLIENT via le logiciel les vulnérabilités ainsi que des
recommandations de sécurité. Le Service ne comprend pas la mise en oeuvre de ces
recommandations. Le CLIENT pourra sur la plateforme exporter les résultats sous
forme de rapport. L'ensemble des rapports produits par le Service sont des
Informations Confidentielles au sens de l'article CGU "Confidentialité et Secrets
d'Affaires".
2.3.2 En cas d'identification par PATROWL de Vulnérabilité(s) importante(s) dans le
Système d'Information du CLIENT, PATROWL s'engage à en informer le CLIENT de
manière explicite via des alertes, en attirant son attention sur les risques que les
Vulnérabilités identifiées font courir à la sécurité de son Système d'Information.
PATROWL s'engage à ne faire aucun usage personnel des éventuelles Vulnérabilités
identifiées et veillera tout particulièrement à ce que ses Collaborateurs soient informés
sans ambiguïté de cet engagement.
2.3.3 En sa qualité de commanditaire du Service, le CLIENT est seul responsable de sa
décision de notifier ou non à l'ANSSI les vulnérabilités identifiées, PATROWL prenant
l'engagement de transmettre au CLIENT certaines informations, de manière
anonymisées du fait de ses propres engagements contractuels ou légaux. En
conséquence, à la demande du CLIENT et par dérogation expresse à l'article L.2321-
4 Code de la défense, PATROWL s'engage à ne pas informer directement l'ANSSI
des vulnérabilités qu'il aurait identifiées. A la demande du CLIENT, PATROWL lui
remettra les Traces relatifs aux Vulnérabilités identifiées. Toute Trace détenue par une
partie au titre du Contrat sera réputée constituer une Information au sens de l'article
CGU "Confidentialité et Secrets d'Affaires".
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
8
2.4 CGU "Objet du Contrat - Prestations complémentaires
d'Assistance"
2.4.1 La modification du nombre d’actifs gérés dans le logiciel peut être réalisé de manière
autonome pour le CLIENT mais sera soumis à la validation de PATROWL. Une marge
de 10% sur le nombre d’actifs gérés par le logiciel sans surcoût est proposé dans le
cadre du contrat.
2.4.2 L’ajout d’un nombre plus important d’actifs dans le logiciel (>10%) constituera une
prestation complémentaire qui devra faire l'objet d'un devis de la part de PATROWL
et d'une acceptation préalable, écrite et expresse par le CLIENT avant toute réalisation
par PATROWL.
2.4.3 L'accomplissement préalable de prestations additionnelles d'Assistance peut être
nécessaire à la Mise en Production du Service par PATROWL ou à sa bonne utilisation
par le CLIENT (mise en oeuvre technique du Service, paramétrage, formation à
l'analyse des rapports système, développement de logiciel spécifique, etc.).
2.4.4 Constituera une prestation complémentaire d'Assistance à la charge de PATROWL
toute prestation qui ne serait pas explicitement comprise dans la liste des prestations
composant le Service. Toute prestation complémentaire d'Assistance devra faire
l'objet d'un devis de la part de PATROWL et d'une acceptation préalable, écrite et
expresse par le CLIENT avant toute réalisation par PATROWL.
2.4.5 Les prestations complémentaires d'Assistance font l'objet d'une facturation par
PATROWL et d'un paiement par le CLIENT, en plus du montant de la Redevance.
2.5 CGU "Objet du Contrat - Cession des DPPI sur les Livrables
Spécifiques"
2.5.1 Si, au titre des prestations complémentaires d'Assistance figure le développement
d'éléments susceptibles de constituer une oeuvre originale (logiciel spécifique, rapport,
etc.), les droits patrimoniaux de propriété intellectuelle ("DPPI") sur toutes les oeuvres
réalisées par PATROWL pour les besoins spécifiques du CLIENT dans le cadre du
Contrat (les "Livrables Spécifiques") seront (i) identifiés au préalable dans un Bon de
Commande et (ii) cédés par PATROWL au CLIENT dans les conditions fixées à l'article
CGU "Durée du Contrat"
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
9
3 CGU "DUREE DU CONTRAT"
3.1.1 Le Contrat est formé et prend effet à la date de son acceptation en ligne par le CLIENT.
3.1.2 Le contrat peut être résilié par le CLIENT uniquement dans les conditions présentées
à l’article CGU "Résiliation pour manquement"
3.1.3 Le contrat est reconductible automatiquement et de façon tacite à sa date anniversaire.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
10
4 CGU "DISPONIBILITE DU SERVICE"
4.1.1 A compter de la Mise en Service du Service, PATROWL s’engage à accomplir ses
obligations conformément à l'état de l'art et dans le cadre d’une obligation générale de
moyens.
4.1.2 PATROWL rappelle au CLIENT (i) que la fourniture d'une liaison entre la Plateforme
d'Hébergement et le Système d'Information du CLIENT ne figure pas dans les
prestations rendues par PATROWL au titre du Service et (ii) qu'il appartient au CLIENT
de disposer d'une connexion à un réseau de communications électroniques qui
permette effectivement à PATROWL de recevoir les Données INPUT et au CLIENT
de recevoir les Données OUTPUT depuis la Plateforme d'Hébergement.
4.1.3 PATROWL RAPPELLE AU CLIENT QUE L’INTERNET, QUI PERMET A PATROWL
DE RENDRE LE SERVICE, EST UN RESEAU OUVERT ET INFORMEL,
CONSTITUE PAR L’INTERCONNEXION A L’ECHELLE INTERNATIONALE DE
RESEAUX INFORMATIQUES INDEPENDANTS UTILISANT LE PROTOCOLE
TECHNIQUE TCP/IP, SANS QU’IL N’Y AIT OBLIGATION DE FOURNITURE OU DE
QUALITE DE FOURNITURE ENTRE OPERATEURS DE CES RESEAUX. EN
CONSEQUENCE, PATROWL NE PEUT GARANTIR (i) NI UNE DISPONIBILITE DU
SERVICE QUI TIENNE COMPTE DU FONCTIONNEMENT DE L’INTERNET, (ii) NI
QUE L’UTILISATION DU SERVICE SERA ININTERROMPUE.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
11
5 CGU "CONDITIONS FINANCIERES"
5.1.1 Le montant et les modalités de paiement de la Redevance sont détaillés dans le Bon
de Commande et sont exprimés hors taxes. La Redevance est payable terme à échoir
(d'avance).
5.1.2 En qualité de signataire unique du Contrat, le CLIENT est seul responsable des
sommes dues par l'utilisation du Service par les Collaborateurs, ou ceux des sociétés
de son groupe, de ses prestataires de services et de ses sous-traitants.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
12
6 CGU "RESPONSABILITE ET ASSURANCE"
6.1.1 Chaque partie est responsable des dommages directs et prévisibles causés par une
mauvaise exécution partielle ou totale du Contrat prouvée par l'autre partie. Aucune
des parties n’est responsable des dommages indirects ou imprévisibles causés par sa
mauvaise exécution partielle ou totale du Contrat, en ce compris pour le CLIENT le
coût d'usage d'un logiciel ou la fourniture d'un service de substitution au Logiciel et/ou
au Service.
6.1.2 Le montant total de la responsabilité pécuniaire de PATROWL au titre de la fourniture
du Service est limité à hauteur du montant des Redevances encaissées par
PATROWL au cours de l’année d’utilisation du Service par le CLIENT.
6.1.3 Par exception à l'alinéa précédent, le montant de la responsabilité de chaque partie à
l'égard de l'autre est illimité en cas de (i) dommage corporel ou (ii) faute lourde ou
dolosive ou (iii) de contrefaçon des droits de propriété intellectuelle (CJUE aff. C-666-
18 du 18 décembre 2019) ou (iv) de manquement à ses obligations au titre de la
Législation sur les données personnelles.
6.1.4 Le CLIENT ne pourra mettre en cause la responsabilité de PATROWL que pendant
une durée d'un (1) ans à compter de la survenance du manquement en cause.
6.1.5 PATROWL déclare être titulaire, auprès d’une compagnie d’assurance notoirement
solvable, d’une assurance couvrant les conséquences de sa responsabilité civile
exploitation pouvant lui incomber à raison de l’exécution du Contrat. Le paiement de
la prime annuelle d'assurance par PATROWL tient compte du montant de
l'indemnisation contractuellement offerte par PATROWL en application du présent
article.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
13
7 CGU "RESILIATION"
7.1 CGU "résiliation pour manquement"
7.1.1 Chacune des parties pourra prononcer la résiliation immédiate et de plein droit du
Contrat si l'autre partie ne remédie pas soit (i) à un manquement suffisamment grave
(art. 1224 et 1226 [nouveau] Code civil) à l’une quelconque de ses obligations
contractuelles, soit (ii) à une qualité essentielle explicite de sa prestation, (i) soit dans
les TRENTE (30) jours de la Notification à l’autre partie de l’obligation de mettre fin au
dit manquement, s'il est possible d'y remédier, soit (ii) à effet immédiat dans les autres
cas.
7.2 CGU "Conséquences de la résiliation"
7.2.1 A la date de prise d’effet de la résiliation du Contrat, quelle qu'en soit la cause et sans
autre formalité, le CLIENT s’engage à cesser immédiatement d’utiliser le Logiciel et le
Service et PATROWL sera alors en droit d'interrompre la Licence d'Utilisation et le
Service au profit du CLIENT.
7.2.2 La prise d'effet de la résiliation du Contrat entraine de plein droit la résiliation du droit
d'extraction sur le contenu de la Base de Données consenti par le CLIENT à
PATROWL.
7.2.3 En cas de résiliation, tout mois entamé sera à payer
7.3 CGU "Réversibilité et restitution des Données"
7.3.1 Au plus tard dans les TRENTE (30) jours de la date de prise d’effet de la résiliation du
Contrat, quelle qu'en soit la cause, PATROWL s’engage à restituer gratuitement au
CLIENT la totalité de ses Données, y compris les données personnelles, et à ne pas
exercer de droit de rétention sur ces Données, pour quelque motif que ce soit. Les
Données sont restituées gratuitement au CLIENT dans un format standard du marché
(.xls, .csv, etc.) qui ne nécessite pas l’usage du Logiciel ni du service Cloud pour
pouvoir être réutilisées.
7.3.2 PATROWL s'engage à vérifier que le CLIENT a effectivement procédé à l'export de
ses Données dans le délai de l'alinéa précédent, avant de procéder à l'effacement
complet des Données stockées sur les serveurs de sa Plateforme d'Hébergement. Si
le CLIENT n'a pas procédé à cet export dans les TRENTE (30) jours, PATROWL
procèdera à un export complet des Données du CLIENT, que PATROWL stockera de
manière chiffrée et conservera sur un support externe pendant QUATRE-VINGT-DIX
(90) jours et en informera le CLIENT par écrit. A défaut pour le CLIENT de demander
ses Données à PATROWL dans ce délai, PATROWL sera en droit de procéder à
l'effacement définitif des Données du CLIENT.
7.3.3 Aucune prestation autre que la restitution intégrale au CLIENT de l’ensemble de ses
Données INPUT et OUTPUT ne sera assurée par PATROWL au titre de la réversibilité,
PATROWL n’étant pas tenu d’assurer une quelconque continuité du service rendu
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
14
grâce au Logiciel et/ou au Service, cette absence de continuité de service constituant
(i) une informations déterminante pour le consentement de PATROWL à rendre le
Service au CLIENT et (ii) pour PATROWL une qualité essentielle de la prestation
rendue au CLIENT.
7.4 CGU "Résiliation et survivance"
7.4.1 Conformément à l'article 1230 [nouveau] Code civil, survivent à la prise d'effet de la
résiliation du Contrat, quelle qu’en soit la cause et/ou le fondement, les stipulations qui
par nature survivent à la disparition d'un contrat (notamment l'attribution de
compétence, l’obligation de confidentialité, les obligations au titre de la Législation sur
les données à caractère personnel, un engagement de non-concurrence, etc.).
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
15
8 CGU "CONFIDENTIALITE ET SECRETS
D'AFFAIRES"
8.1 CGU "Informations et secrets d'affaires"
8.1.1 Préalablement à la signature du Contrat ou au cours de son exécution, les parties sont
susceptibles d'échanger (i) des Informations, dont une partie serait le détenteur
légitime, relatives à un algorithme, un protocole, un savoir-faire, une architecture IT,
un process d'audit, de fabrication ou de distribution, et (ii) de manière générale, des
Informations non divulguées publiquement par une partie et relatives à son "potentiel
scientifique et technique, à ses intérêts économiques ou financiers, à ses positions
stratégiques ou à sa capacité concurrentielle" (considérant n°14 Directive UE n°2016-
943). Ces Informations sont des secrets d'affaires au sens de la Directive Secrets
d'Affaires.
8.1.2 "Directive Secrets d'Affaires" désigne ensemble la Directive UE n°2016-943 du 8
juin 2016, la loi n°2018-670 du 30 juillet 2018 et le décret n°2018-1126 du 11 décembre
2018.
8.1.3 "Informations" désigne toute information, quel que soit le support ou le moyen par
lequel cette information serait transmise (par écrit, verbalement, visuellement, de
manière électronique ou par tout autre moyen), que cette information :
(i) soit obtenue directement ou indirectement auprès des Collaborateurs de l’autre
partie,
(ii) soit transmise ou communiquée, volontairement ou non, à l’autre partie oralement
ou sous forme visible ou tangible.
Par défaut, les informations transmises par une partie à l'autre sont des Informations et sont
présumées confidentielles.
8.2 CGU "non-divulgation des Informations"
8.2.1 Chaque partie s'engage, en son nom et pour le compte de ses Collaborateurs, à mettre
en oeuvre des "dispositions raisonnables" (art.2.1 (c) Directive 2016-943 du 8 juin
2016) ou des "mesures de protection raisonnables" (art.L.151-1 (3°) Code de
commerce) de ses Informations et de celles reçues de l'autre partie. Les parties
reconnaissent que la signature du Contrat constitue une première mesure de
protection raisonnable.
8.2.2 Chaque partie s’engage :
(i) à s’assurer que chacun de ses Collaborateurs ayant accès aux Informations de l'autre
partie (a) ait signé, préalablement à toute divulgation à son profit, un accord de
confidentialité dont les obligations équivalent à celles figurant au présent article ou (b)
soit astreint à une obligation de secret professionnel au sens de l'article 226-13 Code
pénal, et
(ii) à justifier de cet engagement par écrit et sans délai à première demande de l'autre
partie.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
16
8.2.3 La partie qui reçoit des Informations de l'autre partie s'engage à les garder strictement
confidentielles, et de manière générale à les protéger avec les mêmes mesures de
protection raisonnables qu'elle applique à ses propres Informations. A cette fin, la
partie qui reçoit des Informations veillera tout particulièrement à ce que :
(i) les Informations de l'autre partie ne soient transmises qu'à ses seuls
Collaborateurs ayant à en connaître et après mise en oeuvre d'un procédé fiable
de traçabilité de mise à disposition de ces Informations ;
(ii) les Informations ne soient pas divulguées à un tiers qu'après la signature d'un
accord de confidentialité avec ce tiers comportant des obligations identiques à
celles figurant au Contrat.
8.2.4 Chaque partie qui viendrait à être informée d'une divulgation ou d'un usage non
autorisé des Informations de l'autre partie, s'engage à en informer sans délai l'autre
partie et à collaborer avec elle pour, autant que possible, mettre un terme à la
divulgation ou à l'usage non autorisé des Informations concernées.
8.3 CGU "droit d'usage sur les Informations"
8.3.1 Les parties conviennent expressément que la divulgation, par une partie,
d'Informations ou de tout bien matériel ou immatériel protégé par un droit de propriété
intellectuelle ou industrielle, ne confère de manière explicite ou implicite aucun droit
de propriété ou d'usage à l'autre partie sur les Informations ou biens concernés.
8.3.2 Chaque partie transmettra à l'autre les seules Informations jugées nécessaires par la
partie qui les transmet.
8.3.3 Aucune des parties ne garantit la véracité ou l'exactitude des Informations divulguées
mais s'engage à les communiquer de bonne foi, selon l'état de ses connaissances au
moment de la divulgation.
8.3.4 Chaque partie reconnaît que (i) toute réutilisation par ses soins des Informations de
l'autre partie pour une raison autre que la stricte mise en oeuvre du Contrat, ou (ii)
toute divulgation non autorisée de ces Informations à des tiers, est susceptible de
causer un grave dommage à la partie qui en est le détenteur légitime initial.
8.3.5 CET ENGAGEMENT DE CHAQUE PARTIE DE NON-REUTILISATION ET DE NONDIVULGATION
DES INFORMATIONS DE L'AUTRE PARTIE A DES TIERS EST UNE
CONDITION SUBSTANTIELLE ET DETERMINANTE DE CHAQUE PARTIE A
COMMUNIQUER SES INFORMATIONS ET SES SECRETS D'AFFAIRES A
L'AUTRE, ET A DEFAUT DUQUEL CHAQUE PARTIE SE SERAIT ABSTENUE DE
LES DIVULGUER A L'AUTRE.
8.4 CGU "exceptions à la non-divulgation"
8.4.1 Chaque partie est relevée de son engagement de non-divulgation pour toute
Information dont elle peut apporter la preuve préalable et écrite que l'Information
concernée :
(i) est tombée dans le domaine public en l'absence de toute faute civile ou de tout
manquement contractuel, volontaire ou non, qui lui soit imputable ; ou
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
17
(ii) lui était déjà connue antérieurement, pour l'avoir reçue d'un tiers de manière licite
; ou
(iii) est le résultat de travaux internes entrepris de bonne foi par ses soins sans
connaissance préalable des Informations de l'autre partie ; ou
(iv) peut-être divulguée après autorisation écrite de la partie dont elle émane.
8.4.2 Pour le cas où une partie serait tenue de divulguer des Informations du fait d'une
obligation légale ou en application d'une décision d'une autorité judiciaire ou
administrative, cette partie s'engage à en informer l'autre sans délai (sauf si la loi le lui
interdit expressément) de sorte que l'autre partie puisse protéger autant que possible
le caractère confidentiel des Informations concernées.
8.5 CGU "engagement de non-concurrence"
8.5.1 Chaque partie s’interdit toute utilisation, directe ou indirecte, de tout ou partie des
Informations dont elle a pu avoir connaissance dans le cadre du Contrat afin de
développer ou de commercialiser, directement ou indirectement, tout logiciel, produit
ou service susceptible de concurrencer directement ou indirectement ceux de l’autre
partie et ce pendant toute la Durée Initiale (et celle de toute Période Additionnelle) et
les DIX HUIT (18) mois qui suivent sa résiliation.
8.5.2 Cet engagement de non-concurrence est une condition substantielle et déterminante
de chaque partie à communiquer à l’autre des Informations relatives au Contrat, et à
défaut duquel chaque partie se serait abstenue de communiquer ses Informations à
l'autre ou de conclure le présent Contrat. Tout manquement, volontaire ou non, d’une
partie au strict respect du présent engagement sera constitutif pour la partie lésée d’un
trouble manifestement illicite.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
18
9 CGU "TRAITEMENT DES DONNEES DE
CONTACT DES COLLABORATEURS"
9.1 CGU "Législation sur les données personnelles"
9.1.1 "Législation sur les données personnelles" désigne toute législation applicable en
France relative à la protection des données à caractère personnelle des personnes
physiques, notamment le Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et la loi
"Informatique et Libertés" n°78-17 du 6 janvier 1978 modifiée par l'Ordonnance
n°2018-1125 du 12 décembre 2018. Dans le Contrat, les termes "responsable de
traitement", "sous-traitant", "traitement", "personne concernée", "violation de données"
et "données à caractère personnel" (ou par simplification données personnelles) ont
le sens fixé à l’article 4 RGPD.
9.2 CGU "responsable du traitement"
9.2.1 Chaque partie est responsable du traitement des données personnelles de contact
des Collaborateurs de l'autre partie que chaque partie collecte directement (art.13
RGPD) auprès des Collaborateurs de l'autre partie à l'occasion de l'exécution du
Contrat pour les seules finalités suivantes :
(i) traitement nécessaire à l'exécution du Contrat et la gestion par chaque partie des
habilitations de ses Collaborateurs autorisés à accéder aux Informations (art.6.1
(b) RGPD) ;
(ii) traitement nécessaire aux intérêts légitimes de sécurisation de son Système
d'Information (art.6.1 (f) RGPD) ;
(iii) traitement nécessaire aux fins des intérêts légitimes de chaque partie (art.6.1 (f)
RGPD) de prospection de ses autres produits ou services avec lien http de
désinscription gratuit et immédiat (droit à l'oubli art.17 RGPD) intégré dans chaque
envoi en format électronique aux Collaborateurs de l'autre partie.
9.2.2 Chaque partie s'engage à conserver les données personnelles des Collaborateurs
pendant la durée nécessaire à l'accomplissement du Contrat et, au-delà, pour la durée
nécessaire à l'exercice de toute action judiciaire susceptible d'être engagée entre les
parties à raison de l'exécution du Contrat. A l'issue de la durée légale de prescription
d'action en France, les données personnelles des Collaborateurs nécessaires à
l'exécution du Contrat seront effacées (droit à l'oubli art.17 RGPD) des bases de
données de la partie qui les a collectées.
9.2.3 Chaque Collaborateur d'une partie dispose d'un droit d'accès (art.15 RGPD) et de
rectification (art.16 RGPD) sur ses données personnelles traitées par l'autre partie.
Chaque partie s'engage à répondre par email à chaque Collaborateur de l'autre partie
dans les TRENTE (30) jours de la réception de leur demande, si possible par email. A
défaut de recevoir une réponse, le Collaborateur serait en droit de saisir la Commission
Nationale de l'Informatique et des Libertés pour contester ce défaut de réponse. Il
appartient à chaque partie d'informer ses Collaborateurs des droits offerts par l'autre
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
19
partie au titre de la Législation sur les données personnelles.
9.2.4 Les données du présent traitement sont hébergées par chaque partie exclusivement
sur le territoire de l'Union Européenne.
9.2.5 Chaque partie s'engage à faire figurer le présent traitement de données dans son
"registre des activités de traitement" (article 30 RGPD).
9.2.6 Toute sous-traitance éventuelle par une partie de la gestion technique de sa base de
données personnelles des Collaborateurs de l'autre partie fera l'objet d'un contrat écrit
avec un sous-traitant professionnel, chaque partie s'engageant à ce que le soustraitant
respecte strictement les dispositions du Contrat et garantisse la sécurité et la
confidentialité des données personnelles qu'une partie viendrait à lui confier.
9.2.7 Tout autre type de traitement par une partie des données à caractère personnel des
Collaborateurs de l'autre partie (par exemple transmission avec ou sans contrepartie
pécuniaire à des tiers à des fins de prospection, directe ou indirecte, y compris le
profilage) ne sera mis en oeuvre par une partie qu'avec recueil préalable individuel du
consentement éclairé de chaque Collaborateur (art.6.1 (a) RGPD) de l'autre partie.
Chaque envoi en format électronique par une partie aux Collaborateurs de l'autre
partie comprendra un rappel clair et concis de l'existence des droits offerts à chaque
Collaborateur de l'autre partie au titre de la Législation sur les données personnelles,
notamment le droit d'opposition à prospection et profilage (art.21 RGPD).
9.2.8 Sans délai et au plus tard dans les SOIXANTE DOUZE (72) heures après en avoir pris
connaissance (art.33 RGPD), chaque partie s’engage à informer la CNIL de toute
violation des données personnelles des Collaborateurs de l'autre partie.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
20
10 CGU "DISPOSITIONS DIVERSES"
10.1 CGU "Force majeure"
10.1.1 Force majeure désigne (article 1218 Code civil) un évènement (i) échappant au
contrôle de la partie empêchée et (ii) qui ne pouvait être raisonnablement prévu à la
date de conclusion, du Contrat et (iii) dont les effets ne peuvent être évités par des
mesures appropriées que la partie empêchée pourrait prendre.
10.1.2 Une partie empêchée d'exécuter une obligation contractuelle à sa charge ne pourra
être tenue responsable de cet empêchement s'il est justifié par la survenance d'une
force majeure (impactant par exemple pour PATROWL les délais de SLA ou
l'accomplissement des prestations de Support ou de Maintenance, etc.).
10.2 CGU "Obligations sociales et travail dissimulé"
10.2.1 Chaque partie s’engage à respecter l'article l'article L.8222-1 Code du travail et l'article
D.8222-5 du Code du travail (déclarations obligatoires aux organismes de protection
sociale ou à l’administration fiscale) et atteste sur l'honneur de la réalisation de ses
prestations par des salariés employés régulièrement au regard de l'article L.1221-10
Code du travail et de l'article L.3243-2 Code du travail..
10.3 CGU "Notification"
10.3.1 Toute mise en demeure ou approbation et tout compte rendu ou consentement (une
"Notification") requis ou nécessaire en application du Contrat devra être fait par écrit
et sera réputée valablement donnée si (i) remise en main propre au destinataire contre
signature de DEUX (2) exemplaires originaux (dont UN (1) pour le destinataire) ou (ii)
adressée par lettre recommandée avec demande d'accusé de réception à l’autre partie
ou (iii) par un service de courrier exprès contre signature d’un récépissé de remise.
Sauf disposition particulière dans un article du Contrat, les délais sont comptés par
jour calendaire, une semaine comptant SIX (6) jours ouvrables et CINQ (5) jours
ouvrés. Tout délai compté à partir d’une notification courte à compter de la première
tentative de remise au destinataire, le cachet de la Poste faisant foi, ainsi que le
récépissé du service de courrier exprès et la date manuscrite sur la lettre remise en
main propre.
10.4 CGU "Convention sur la preuve"
10.4.1 Conformément l'article 1356 Code civil, le CLIENT accepte expressément que la
preuve de ses actions ou inactions au titre du Contrat soit apportée par les
enregistrements provenant du Système d'Information de PATROWL (ou de l'un de ses
sous-traitants) qui sont présumés établis et conservés dans des conditions de nature
à en garantir l’intégrité (article 1366 Code civil).
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
21
11 CGU "LOI APPLICABLE ET ATTRIBUTION
DE COMPETENCE TERRITORIALE"
11.1.1 Chaque partie élit domicile en son siège social.
11.1.2 Le Contrat est soumis au droit français, tant pour les règles de forme que pour les
règles de fond.
11.1.3 A DEFAUT D'ACCORD AMIABLE ENTRE LES PARTIES POUR TOUT DIFFEREND
RELATIF A L'INTERPRETATION, L'EXECUTION OU LA TERMINAISON DU
CONTRAT, conformément à l'article 48 du Code de procédure civile et seulement pour
le cas où le demandeur et le défendeur seraient tous deux commerçant au sens de
l'article L.121-1 Code de commerce, IL EST FAIT EXPRESSEMENT ATTRIBUTION
DE COMPETENCE AU TRIBUNAL DE COMMERCE DE PARIS, MEME POUR LES
PROCEDURES DE REFERE, sauf compétence matérielle ou territoriale d'attribution
à laquelle il ne serait pas possible de déroger contractuellement.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
22
12 CGU "ANNEXE - LICENCE D'UTILISATION
DU LOGICIEL"
12.1 CGU "ANNEXE licence - période d'essai - POC - test -
recette - paramétrage"
12.1.1 Avant la date cible de Mise en Production fixée au Bon de Commande, il appartient au
CLIENT de tester le Service. A ce titre, le CLIENT peut demander à PATROWL de
réaliser une version de démonstration du Logiciel et/ou du Service (Proof of Concept
ou POC). L'utilisation de ce POC par le CLIENT vaut validation de la capacité de
PATROWL à répondre aux besoins du CLIENT.
12.1.2 A défaut de réserves écrites et documentées avant la Mise en Production, le Logiciel
et le Service est réputé recetté sans réserve dès son utilisation, même partielle, par le
CLIENT dans des conditions réelles d’exploitation. Le paramétrage préalable du
Logiciel et/ou du Service avant la Mise en Production, accessible via le back office du
Logiciel, peut être un élément déterminant du bon fonctionnement du Service. Ce
paramétrage doit alors être assuré par le CLIENT, sous sa responsabilité,
éventuellement avec l'assistance de PATROWL. Toute modification ultérieure des
paramètres d'utilisation ou de fonctionnement du Service sera de la seule
responsabilité du CLIENT.
12.1.3 Si le Bon de Commande prévoit une période d'essai du Logiciel et/ou du Service, le
CLIENT utilise le Logiciel et/ou le Service, dans des conditions réelles d'exploitation
pendant cette période qui vaut période de test du Logiciel et/ou du Service. Sauf
résiliation du Contrat notifiée par le CLIENT pendant cette période d'essai dans les
conditions de l'article CGU "Résiliation", ou à défaut de réserves écrites et
documentées relatives au Logiciel et/ou au Service pendant cette même période, le
Logiciel et le Service sont réputés recettés sans réserve par le CLIENT à la date de
Mise en Production. Passée la date de Mise en Production, toute réserve relative au
Logiciel ou au Service sera traitée par PATROWL dans le cadre des prestations
décrites à l'article CGU "ANNEXE - Centre d'Expertise PATROWL".
12.2 CGU "ANNEXE licence - concession d'une Licence
d'Utilisation sur le Logiciel"
12.2.1 La Licence d'Utilisation concédée au CLIENT comprend (i) le droit d’utiliser le Logiciel
seulement en version web, pendant la Durée Initiale (et toute Période Additionnelle),
de manière non exclusive et non transférable, et ne peut faire l’objet d’une souslicence,
d’une cession, d’un transfert ou d’une mise à disposition d’un tiers, à titre
gratuit ou onéreux, selon quelque modalité pratique ou juridique que ce soit et (ii) les
prestations de Maintenance décrites à l'article CGU "ANNEXE - Centre d'Expertise
PATROWL". Le prix de la Licence d'Utilisation du Logiciel est inclus dans le montant
de la Redevance.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
23
12.2.2 Le Service est destiné à être utilisé par le CLIENT:
(i) seulement dans le respect des règles d’identification et d’affectation des droits des
Collaborateurs retenues par le CLIENT via le back office du Logiciel ;
(ii) seulement pour l'analyse du Système d'Information du CLIENT et des sociétés de
son groupe dans les conditions limitativement définies au Contrat.
12.3 CGU "ANNEXE licence - module de reporting
automatique"
12.3.1 PATROWL se réserve le droit d'introduire dans le Logiciel et/ou le service Cloud un
module de reporting automatique (sans collecte de données à caractère personnel)
permettant à PATROWL de vérifier le respect des dispositions du Contrat par le
CLIENT (nombre de Collaborateur ou d'Administrateur, nombre d’actifs, etc.) et de
manière générale, tout métrique listé dans le Bon de Commande et qui permet à
PATROWL de facturer la Redevance pour le montant convenu au Contrat.
12.4 CGU "ANNEXE licence - droit de corriger le Logiciel"
12.4.1 Conformément à la Directive Logiciel (art. L.122-6-1 II 1° al.2 CPI), PATROWL se
réserve de manière exclusive le droit de corriger les éventuels Bug affectant le Logiciel
(maintenance corrective), notamment celles (i) qui empêchent le CLIENT d'utiliser le
Service conformément à sa destination ou (ii) nécessaires à l'interopérabilité du
Logiciel avec d'autres logiciels intégrés dans le Système d'Information du CLIENT à la
date de signature du Contrat. Les engagements de correction des Bugs à la charge
de PATROWL sont limitativement décrits à l'article CGU "ANNEXE - Maintenance".
12.5 CGU "ANNEXE licence - LPM - SIIV"
12.5.1 Conformément à l'article R.1332-41-13 Code de la défense, pour le cas où le Service
permettrait d'analyser tout ou partie du périmètre du Système d'Information
d'Importance Vitale du CLIENT, PATROWL s'engage à tenir la version des codes
source du Logiciel en production chez le CLIENT à disposition de l'ANSSI.
12.6 CGU "ANNEXE licence - garanties de jouissance paisible"
12.6.1 PATROWL garantit (i) que le Logiciel est original et (ii) être titulaire de l’intégralité des
droits de propriété intellectuelle sur le Logiciel, sous réserve des éventuels modules
intégrés au Logiciel qui bénéficieraient d’une licence de type "Open Source" et
identifiés dans le Bon de Commande ou (iii) disposer du droit de concéder une licence
d’utilisation au CLIENT sur les éventuels modules additionnels du Logiciel choisis par
le CLIENT dont les droits de propriété intellectuelle sont détenus par un tiers de
manière à ce que PATROWL puisse valablement, à son tour, en concéder l'usage au
CLIENT dans les conditions du Contrat.
12.6.2 Pendant la Durée Initiale (et toute Période Additionnelle), PATROWL garantit le
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
24
CLIENT contre toute action ou procédure judiciaire au motif d’une éventuelle atteinte
par le Logiciel aux droits de propriété intellectuelle d’un tiers. PATROWL se charge, à
ses frais et à son choix, de la défense à conduire du fait de l’action menée à l'encontre
du CLIENT par ce tiers.
12.6.3 PATROWL paiera la totalité des dommages-intérêts auxquels le CLIENT serait
condamné par une décision de justice ayant autorité de la chose jugée au principal et
passée en force de chose jugée. PATROWL garantit au CLIENT la paisible jouissance
de l’usage du Logiciel, pour autant que le CLIENT lui notifie sans délai toute menace
d'action ou de procédure judiciaire en ce sens, lui permette d'assurer sa défense et
collabore avec PATROWL à cette défense aux frais de PATROWL. PATROWL aura
la maîtrise totale de la défense civile, y compris l'appel, la négociation et le droit de
parvenir à une transaction au sens des articles 2044 et suivants du Code Civil.
12.6.4 En cas de condamnation civile de PATROWL par décision de justice ayant autorité de
la chose jugée au principal et passée en force de chose jugée ou en cas de transaction
conclue par PATROWL, PATROWL pourra, à son choix et à ses frais, soit (i) obtenir
pour le CLIENT le droit de continuer à utiliser le Logiciel (i) sans augmentation du
montant de la Redevance et (ii) et sans interruption d’usage du Service pour le
CLIENT, éventuellement en modifiant tout ou partie du Logiciel pour qu'il ne constitue
plus une contrefaçon des droits du tiers.
12.6.5 Si le droit de continuer à utiliser le Logiciel ne peut être obtenu ou si le Logiciel ne peut
être remplacé ou modifié pour un coût raisonnable pour PATROWL afin de ne plus
constituer la contrefaçon des droits du tiers, PATROWL pourra notifier au CLIENT la
résiliation du Contrat et restituer au CLIENT le montant total de la Redevance payée
d'avance par le CLIENT à PATROWL prorata temporis à compter de la date de la
réclamation du tiers (période postérieure à la dernière prestation n’ayant pas reçu sa
contrepartie) (art. 1229 [nouveau] Code civil), nonobstant le droit pour le CLIENT de
solliciter l'indemnisation judiciaire de son entier préjudice.
12.7 CGU "ANNEXE licence - limites strictes d'utilisation du
Logiciel et du Service"
12.7.1 Le strict respect par le CLIENT de la propriété intellectuelle de PATROWL et les
conditions dans lesquelles PATROWL accorde au CLIENT une Licence d'Utilisation
sur le Logiciel pour bénéficier du Service constituent ensemble une qualité essentielle
explicite de la prestation du CLIENT attendue par PATROWL.
12.7.2 Toute modification ou toute tentative de modification par le CLIENT de la Licence
d'Utilisation (accès par un moyen non autorisé ou non prévu par PATROWL,
augmentation non autorisée par le CLIENT du nombre de Collaborateurs habilités,
etc.) ou toute utilisation du Logiciel et/ou du Service dans des conditions non prévues
au Contrat, sans l'accord préalable et écrit de PATROWL, représente un danger
considérable pour la pérennité de l’entreprise de PATROWL dont la propriété
intellectuelle sur le Logiciel constitue un actif essentiel.
12.7.3 En conséquence, toute modification ou toute tentative de modification des conditions
d'utilisation du Logiciel et/ou du Service, volontaire ou non, par le CLIENT, est réputée
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
25
constituer une inexécution suffisamment grave de la part du CLIENT pour entraîner le
droit pour PATROWL de suspendre immédiatement et de plein droit d'utiliser le
Logiciel et/ou le Service (art. 1219 [nouveau] Code civil) dès la date d'envoi d'une
information en ce sens par PATROWL au CLIENT, notamment par courrier
électronique confirmé par une Notification au sens de l'article CGU "Notification".
12.8 CGU "ANNEXE licence - contrôle des exportations"
12.8.1 PATROWL s'engage à respecter les réglementations de la France et de l'Union
Européenne applicables en matière de contrôle des exportations, de défense nationale
et de protection des intérêts stratégiques nationaux ou européens.
12.8.2 PATROWL garantit n'avoir utilisé lors du développement du Logiciel aucun bien
matériel ou immatériel (logiciel, documentation, donnée, technologie, procédé, savoirfaire,
etc.) contrôlé par la réglementation ITAR ("International Traffic in Arms
Regulations") des U.S.A.
12.8.3 PATROWL s'engage à notifier au CLIENT si tout ou partie du Logiciel, notamment les
technologies utilisées pour son développement (matériel, logiciel, procédé, savoirfaire,
etc.) venait à être soumis à une réglementation relevant du présent article CGU
"ANNEXE licence - contrôle des exportations".
12.8.4 PATROWL n'est pas en mesure de contrôler l'usage que le CLIENT fera du Logiciel.
PATROWL rappelle au CLIENT qu'il appartient au CLIENT seul de veiller à ce
qu'aucun de ses Collaborateurs n'utilise le Logiciel sur le territoire d'un pays faisant
l'objet d'une mesure officielle d'embargo ou d'interdiction d'exportation et/ou d'usage
adoptée par la France et/ou l'Union Européenne. Le CLIENT s'engage à relever et
garantir en totalité et sans réserve les conséquences notamment pécuniaires
(amende, pénalité, dommages-intérêts, etc.) d'un tel manquement qui viendraient à
être mises à la charge de PATROWL.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
26
13 CGU "ANNEXE - SUPPORT"
13.1.1 Pour tout problème relatif à l'installation ou à l'usage du Logiciel, le CLIENT soumet à
PATROWL un ticket de Support, via un des canaux disponibles (téléphone, mail, web)
13.1.2 A réception du ticket de Support, PATROWL opère un diagnostic sur le problème du
CLIENT, le qualifie puis oriente l’Administrateur du CLIENT :
(i) soit vers la Documentation, la base de connaissance ou d’autres contenus
accessibles en ligne dans le Centre d’Expertise PATROWL , ou
(ii) soit vers la Maintenance.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
27
14 CGU "ANNEXE - MAINTENANCE"
14.1 CGU "ANNEXE Maintenance - définitions"
14.1.1 "Bug" désigne les éventuels défauts, erreurs, anomalies, vices cachés, Vulnérabilités,
etc. affectant (i) le fonctionnement du Logiciel attendu par PATROWL ou (ii)
l'interaction du Logiciel avec les autres logiciels du Système d'Information du CLIENT
et qui ont pu être reproduits par PATROWL.
14.1.2 "Maintenance" désigne le service de maintenance corrective du Logiciel. Le montant
de cette prestation est compris dans celui de la Redevance. Les engagements de
PATROWL au titre de cette prestation sont limitativement définis à l'article CGU
"ANNEXE - Maintenance".
14.1.3 L'état de l'art des techniques de développement et de fonctionnement des
programmes d'ordinateur ne permet pas à PATROWL de pouvoir corriger de manière
définitive la totalité des Bugs susceptibles d'affecter le Logiciel. Conformément à
l'article 1133 al.3 [nouveau] Code civil, en signant le Contrat, le CLIENT reconnaît
expressément accepter l'aléa inhérent aux prestations rendues par PATROWL au titre
(i) de la Licence d'Utilisation et (ii) du Service Cloud.
14.2 CGU "ANNEXE Maintenance - droit de corriger le
Logiciel"
14.2.1 Conformément à la Directive Logiciel, PATROWL se réserve de manière exclusive le
droit de corriger les Bugs, notamment ceux qui empêchent :
(i) le CLIENT d'utiliser le Logiciel et les Développements Génériques conformément
à leur destination ou
(ii) l'interopérabilité du Logiciel avec d'autres logiciels intégrés dans le Système
d'Information du CLIENT à la date de conclusion du Contrat.
14.2.2 Les engagements de PATROWL relatifs à la correction des Bug du Logiciel, sont
limitativement décrits dans les prestations définies au présent article CGU "ANNEXE
- Maintenance".
14.3 CGU "ANNEXE Maintenance - Engagements essentiels
du CLIENT"
14.3.1 Le CLIENT s’engage à mettre à jour régulièrement le Logiciel et au plus tard dans une
fenêtre de mise à jour fixée dans le Bon de Commande après la mise à disposition par
PATROWL d’une nouvelle version mineure et/ou majeure du Logiciel afin de pouvoir
bénéficier de la Maintenance. Le CLIENT s'engage à installer et utiliser les patchs
fournis par PATROWL sans délai, à défaut de quoi PATROWL ne saurait être
responsable de tout Bug du Logiciel.
14.3.2 En cas d’impossibilité ou de refus de mise à jour du Logiciel pour des raisons propres
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
28
au CLIENT, le CLIENT peut bénéficier de la Maintenance sur un version antérieure du
Logiciel uniquement s’il a choisi une prestation spécifique en ce sens dans le Bon de
Commande.
14.3.3 Pour bénéficier de la Maintenance dans les conditions de SLA retenues au Bon de
Commande, l’Administrateur du CLIENT est tenu de signaler au plus vite à PATROWL
tout éventuel incident d'installation ou de fonctionnement du Logiciel, à compter de sa
découverte, via le Centre d'Expertise PATROWL.
14.3.4 Une fois le problème pris en compte par PATROWL au titre de la Maintenance
l’Administrateur s'engage à:
(i) transmettre sans délai à PATROWL toute information nécessaire ou utile pour que
PATROWL puisse reproduire ledit Bug ;
(ii) se rendre disponible à l’égard de PATROWL, et permettre à PATROWL de se
mettre en relation avec toute personne susceptible de lui fournir toute information
utile sur le Bug signalé afin d'en assurer la reproduction.
14.4 CGU "ANNEXE Maintenance - Niveau de gravité des
Bugs et des Vulnérabilités"
14.4.1 Une fois le ticket d'incident (i) qualifié de Maintenance par le Centre d'Expertise
PATROWL et (ii) le Bug reproduit par PATROWL dans son environnement de pré-prod
ou de qualification, PATROWL fixe le niveau (i) de criticité et (ii) de complexité de
l'incident relevant de la définition de Bug selon les principes suivants :
Gravité du Bug 1 - Bloquant 2 - Majeur 3 - Mineur
Description Le Logiciel dans son
ensemble n'est plus
fonctionnel.
Le Logiciel est toujours
disponible, mais des parties
importantes ne fonctionnent
pas.
La disponibilité du Logiciel
n'est pas affectée, un Bug a
été constaté sans impact
métier immédiat.
Complexité du Bug L - Grosse M - Moyenne S - Petite
Description Cause racine. Problème
profondément enracinée
dans un ou plusieurs
éléments complexes du
Logiciel. La correction peut
nécessiter plusieurs
semaines d'efforts.
Cause non triviale. Nécessite
un niveau de complexité
supplémentaire. Peut
généralement être résolu
dans le cadre d'une semaine
d'efforts.
Incident mineur ou
insignifiant. Peut
généralement être résolu en
moins d'une journée.
Gravité de la
Vulnérabilité
1 - Bloquante 2 - Majeur 3 - Mineur
Description score CVSS
égal ou supérieur à 9.
score CVSS
entre 8 (inclus) et 9 (exclu).
score CVSS
inférieur à 8.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
29
14.5 CGU "ANNEXE Maintenance - Temps de réponse en
Maintenance"
14.5.1 Une fois le Bug du CLIENT reproduit et son niveau (i) de criticité et (ii) de complexité
fixé par PATROWL, PATROWL s'engage à intervenir selon les modalités suivantes :
Temps de réponse
en Maintenance*
Gravité du Bug reproduit
1 - Bloquante 2 - Majeure 3 - Mineure
SLA STANDARD (en
jours et heures
ouvrés) (UTC+1)
S - Petite : 5 jours
M - Moyenne : 10 jours
L - Grosse : 20 jours
S - Petite : 10 jours
M - Moyenne : 20 jours
L - Grosse : 40 jours
Obligation de
moyens
* Temps dans la période de référence (soit les plages d’heures ouvrées dans les Régions
concernées ou 24/7) selon le niveau de SLA retenu par le CLIENT dans un Bon de Commande
14.5.2 Une fois le Bug reproduit qualifié par PATROWL, PATROWL s’engage à répondre au
CLIENT conformément à ses engagements de temps de réponse et à installer dans la
Plateforme d'Hébergement une correction du code source du Logiciel à l’origine du
Bug reproduit. Pour ce faire, PATROWL peut recourir à une solution temporaire de
contournement, une mise à jour (patch, hot fix ou update) ou une nouvelle version
majeure (upgrade) du Logiciel.
14.6 "ANNEXE Maintenance - mises à jour et nouvelles
versions"
14.6.1 Les conditions du Contrat, notamment la Licence d'Utilisation, s'appliquent à toute
version mineure (patch, hot fix ou update) ou majeure (upgrade) du Logiciel fournie
par PATROWL au CLIENT au titre des prestations de l'article CGU "ANNEXE -
Maintenance".
14.6.2 PATROWL se réserve le droit de faire librement évoluer les fonctionnalités du Logiciel
sans régression du taux de disponibilité et sans retrait des principales fonctionnalités
décrites dans un Bon de Commande.
14.6.3 Les mises à jour (patch, hot fix ou update) ou nouvelles versions (upgrade) du Logiciel
sont fournies au CLIENT, installées et mises en production sur la Plateforme
d'Hébergement par PATROWL, sans intervention du CLIENT, selon une périodicité dont
PATROWL reste seul juge.
14.6.4 Les conditions du Contrat, notamment le droit d’utilisation du Logiciel concédé au CLIENT,
s'appliquent à toute mise à jour (patch, hot fix ou update) ou nouvelle version (upgrade)
du Logiciel installée par PATROWL sur la Plateforme d'Hébergement. PATROWL se
réserve le droit de faire librement évoluer les fonctionnalités du Logiciel et/ou du Service,
sans régression du taux de disponibilité et sans retrait des fonctionnalités décrites au Bon
de Commande.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
30
15 CGU "ANNEXE - CESSION DES DPPI SUR
LES LIVRABLES SPECIFIQUES"
15.1 CGU ANNEXE "cession des DPPI - Principes"
15.1.1 Les droits patrimoniaux de propriété intellectuelle ("DPPI") sur tout Livrable Spécifique
réalisé par PATROWL pour les besoins et à la demande particulière du CLIENT sont
cédés par PATROWL au CLIENT et deviennent la propriété du CLIENT dans les
conditions fixées au présent article.
15.1.2 Une fois les DPPI cédés, le CLIENT pourra faire usage du Livrable Spécifique pour
tout Support et/ou Procédé et/ou Réseau et/ou Service et/ou Public.
15.1.3 "Support et/ou Procédé et/ou Réseau et/ou Service et/ou Public" désigne :
(i) tout support matériel ou immatériel de stockage (support papier, magnétique,
optique, électronique, informatique, électrique, solide, liquide, gazeux ou lumineux)
connu ou inconnu à ce jour; et
(ii) tout procédé ou protocole technique (TCP/IP, UDP, etc), permanent ou temporaire,
centralisé ou non (cloud computing, blockchain, etc.) d’enregistrement, de
stockage et/ou de transmission de signaux et/ou de données analogiques ou
numériques, notamment les écrits, images (animées ou non), sons (voix, etc.) et
pour tout système d'exploitation information (MacOS, Windows, Linux, etc.), connu
ou inconnu à ce jour; et
(iii) toute émission, transmission, réception, distribution et/ou diffusion, par tout canal
direct ou indirect, en upload et/ou en download, par tout moyen connu ou inconnu
à ce jour, et via tout réseau de communications électroniques au sens de l'article
L.32-2° CPCE, analogique, numérique ou quantique, privé ou public, à titre gratuit
ou onéreux, connu ou inconnu à ce jour; et
(iv) tout service (Twitter, Facebook, WhatsApp, etc.) de mise à disposition, connu ou
inconnu à ce jour, permettant la transmission, le traitement, le stockage, l'utilisation
et/ou l’exploitation de tout ou partie de chacun des éléments composant le Livrable
Spécifique;
(v) au profit de tout type de public, professionnel ou consommateur, etc.
15.2 CGU ANNEXE "cession des DPPI - étendue de la cession"
15.2.1 Conformément l'article L.131-3 Code de la propriété intellectuelle, la cession des DPPI
sur un Livrable Spécifique est consentie par PATROWL au CLIENT:
(i) de manière exclusive ;
(ii) en toute langue et pour l’ensemble des pays du monde ;
(iii) pour la durée de protection prévue par le Code de la propriété intellectuelle français
(CPI) et l’ensemble des conventions internationales en matière de droit d’auteur
actuellement en vigueur, de chacun des éléments composant le Livrable
Spécifique;
(iv) pour chacun des droits visés au présent article ;
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
31
(v) et pour tout Support et/ou Procédé et/ou Réseau et/ou Service et/ou Public.
15.3 CGU ANNEXE "cession des DPPI - droits cédés"
15.3.1 La cession portera sur l’ensemble des droits patrimoniaux attachés au Livrable
Spécifique au sens des articles L.122-1 à L.122-9 CPI, et comprendra en particulier
les droits suivants :
(i) le droit de reproduire ou de faire reproduire tout ou partie du Livrable Spécifique,
pour tout Support et/ou Procédé et/ou Réseau et/ou Service et/ou public;
(ii) le droit de faire toute représentation, tout usage et toute exploitation du Livrable
Spécifique, à titre onéreux ou gratuit, pour tout Support et/ou Procédé et/ou
Réseau et/ou Service et/ou Public;
(iii) le droit de modifier, transformer, adapter, traduire, arranger, corriger, mixer,
assembler, compiler, transposer en toute langue , dans tout langage de
programmation et pour tout système d'exploitation, tout ou partie des éléments
composant le Livrable Spécifique, d'interfacer le Livrable Spécifique avec tout
logiciel et toute base de données, pour tout Support et/ou Procédé et/ou Réseau
et/ou Service et/ou public;
(iv) le droit de transférer tout ou partie des éléments composant le Livrable Spécifique,
de manière provisoire ou définitive, à titre gratuit ou onéreux à des tiers, sous
quelque forme que ce soit, et notamment par une cession, une licence d'usage, ou
un service en mode SaaS (Software as a Service)ou tout autre type de contrat.
15.4 CGU ANNEXE "cession des DPPI - prix et livraison des
codes source"
15.4.1 Le prix de la cession des DPPI sur un Livrable Spécifique, identifié comme tel dans un
Bon de Commande, est compris dans son prix de réalisation.
15.4.2 PATROWL cède les DPPI sur un Livrable Spécifique, sous réserve de son complet
paiement préalable. Une fois les DPPI cédés, PATROWL s'engage à livrer au CLIENT
la version originale des codes source du Livrable Spécifique qui serait un logiciel.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
32
16 CGU "ANNEXE - PROTECTION DES
DONNEES PERSONNELLES"
16.1 CGU "ANNEXE protection des données personnelles -
définitions"
16.1.1 La présente annexe prévaut sur toute autre disposition du Contrat et remplace toute
précédente disposition contractuelle entre les parties relative à la protection des
Données du CLIENT. Cette annexe s'applique aux Données INPUT et/ou OUTPUT du
CLIENT qui seraient des données à caractère personnel.
16.1.2 "Législation sur les données personnelles" a le sens défini à l'article CGU
"Traitement des données de contact des Collaborateurs".
16.2 CGU "ANNEXE protection des données personnelles - le
CLIENT est seul producteur des Données contenues dans
sa Base de Données"
16.2.1 Pour exercer son activité commerciale, le CLIENT garantit à PATROWL avoir procédé
à des "investissements matériels, humains ou financiers" (Directive Base de Données
et art. L.342-1 CPI) lui conférant la qualité de "producteur" des Données INPUT
produites par le fonctionnement de son Système d'Information. De ce fait, le CLIENT
dispose du "droit d'interdire toute extraction et/ou toute réutilisation" de toute ou partie
"qualitativement ou quantitativement substantielle" des Données INPUT contenues
dans sa Base de Données (Directive Base de Données et art. L.342-2 CPI).
16.3 CGU "ANNEXE protection des données personnelles -
concession d'un droit d'extraction à PATROWL"
16.3.1 Seulement afin de permettre à PATROWL d'exécuter le Contrat, le CLIENT concède
à PATROWL un droit non exclusif et gratuit à extraction sur la totalité des Données
INPUT contenues dans sa Base de Données, seulement aux fins d'accomplir les
prestations composant le Contrat ou (i) pour améliorer le fonctionnement technique du
Logiciel et/ou du Service ou (ii) pour surveiller la sécurité de son Système d'Information
(article 6.1 (f) RGPD).
16.3.2 Le droit d'extraction temporaire concédé par le CLIENT à PATROWL ne donne pas
droit pour PATROWL à constituer une base de données à partir des Données INPUT
contenues dans la Base de Données du CLIENT dont PATROWL serait le producteur.
Il est expressément convenu entre les parties que les Données OUTPUT (résultats du
traitement des Données INPUT par le Service) constitueront de plein droit une partie
du contenu de la Base de Données du CLIENT.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
33
16.4 CGU "ANNEXE protection des données personnelles -
Base de Données du CLIENT"
16.4.1 Le CLIENT garantit à PATROWL que le CLIENT détermine seul (i) les finalités et (ii)
les moyens du traitement (art.4.7 RGPD) qu'il opère sur les Données personnelles
INPUT contenues dans la Base de Données. A ce titre, le CLIENT déclare qu'en
payant la Redevance, il détermine seul et librement les moyens pécuniaires et/ou
matériels qu'il décide de mettre en oeuvre pour traiter tout ou partie des Données
INPUT contenues dans sa Base de Données.
16.4.2 Il appartient au CLIENT, avant l'acceptation du Contrat, de vérifier que la finalité du
traitement des Données que PATROWL propose de manière standard par son Service
est compatible avec la finalité du traitement par le CLIENT des données personnelles
INPUT éventuellement contenues dans sa Base de Données dont le CLIENT,
responsable du traitement, a informé les personnes concernées au préalable et sous
sa seule responsabilité.
16.4.3 PATROWL reconnaît et accepte expressément (i) ne pas disposer du droit de définir
l'usage des données personnelles INPUT contenues dans la Base de Données du
CLIENT, et (ii) s'engage à ne traiter les Données personnelles INPUT contenues dans
la Base de Données du CLIENT qu'en qualité de sous-traitant (art.4.8 RGPD) du
CLIENT, pour le compte exclusif du CLIENT et seulement dans les conditions visées
au Contrat. Sauf accord préalable et écrit du CLIENT, PATROWL s’interdit toute
extraction et/ou réutilisation des Données INPUT ou OUTPUT contenues dans la Base
de Données du CLIENT, sauf dans les conditions limitativement convenues au
Contrat.
16.5 CGU "ANNEXE protection des données personnelles -
garanties du CLIENT"
16.5.1 Avant toute utilisation du Service par le CLIENT et pendant toute la durée du Contrat,
le CLIENT garantit à PATROWL qu'en sa qualité de responsable du traitement des
données personnelles contenues dans sa Base de Données :
(i) le CLIENT a collecté et traite les données personnelles INPUT de manière licite,
loyale et transparente, pour des finalités déterminées, explicites et légitimes que
le CLIENT détermine seul et que PATROWL ne saurait connaître ;
(ii) le CLIENT (s'il agit en qualité de responsable du traitement) ou le professionnel
qu'il mandate de manière spécifique le CLIENT pour ce faire (auquel cas le
CLIENT agit en qualité de sous-traitant de son propre client) peut prouver avoir
informé au préalable (art.12 RGPD) les personnes dont elle traite les données
personnelles de l'ensemble de ses obligations à leur égard (notamment la
détermination de la "base juridique" de son traitement, ses finalités précises et la
durée de conservation des données personnelles traitées);
(iii) le CLIENT (ou le professionnel qui mandate de manière spécifique le CLIENT pour
ce faire) a informé les personnes concernées que leurs droits (art. 15 à 22 RGPD)
doivent être exercés directement auprès du CLIENT (ou du professionnel qui
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
34
mandate de manière spécifique le CLIENT pour ce faire) et non de PATROWL.
PATROWL s'engage à se conformer à toute instruction écrite, raisonnable et licite
de la part du CLIENT à cet égard.
16.6 CGU "ANNEXE protection des données personnelles -
éléments caractéristiques du traitement"
16.6.1 PATROWL est autorisé à traiter pour le compte du CLIENT les données personnelles
INPUT avec pour finalité exclusive d'assurer la sécurité du Système d'Information du
CLIENT (traitement sans consentement mais avec information préalable nécessaire
aux fins des intérêts légitimes de sécurisation du Système d'Information du CLIENT
(article 6,1 f) RGPD).
16.6.2 Les opérations de traitement réalisées par PATROWL sur les éventuelles données
personnelles INPUT sont la collecte, le stockage, le traitement nécessaire aux fins des
intérêts légitimes de sécurisation du Système d'Information du CLIENT et l'archivage.
16.6.3 Les éventuelles données personnelles collectées et traitées sont des adresses IP et
des adresses email.
16.6.4 Les catégories de personnes concernées sont toute personne physique ayant accédé,
de manière légitime ou non, au Système d'Information du CLIENT.
16.7 CGU "ANNEXE protection des données personnelles -
Traitement par PATROWL exclusivement statistique des
données du CLIENT
16.7.1 Après anonymisation définitive et irréversible des Données personnelles INPUT, le
CLIENT reconnait et accepte que PATROWL puisse traiter les Données OUTPUT du
CLIENT uniquement à des fins statistiques et d’amélioration des fonctionnalités et de
la pertinence du Logiciel et/ou du Service, à l'exclusion de tout autre usage.
16.8 CGU "ANNEXE protection des données personnelles -
garanties de PATROWL"
16.8.1 PATROWL reconnaît et accepte expressément que :
(i) le CLIENT détermine seul les finalités et les moyens du traitement des données
personnelles opéré notamment par l'usage du Service;
(ii) l'utilisation par le CLIENT du Service ne permet pas à PATROWL (a) de définir
d'autres moyens ni d'autres finalités de traitement des données personnelles
contenues dans la Base de Données du CLIENT, ni (b) de traiter les données
personnelles pour ses besoins propres ou des finalités autres que celles définies
par le CLIENT au titre du Contrat, sauf accord préalable et écrit du CLIENT.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
35
16.9 CGU "ANNEXE protection des données personnelles -
PATROWL est sous-traitant"
16.9.1 PATROWL agit en qualité de sous-traitant (art.28 RGPD) du traitement des données
du CLIENT.
16.9.2 En conséquence, PATROWL s'engage (i) à ne pas traiter les données du CLIENT
autrement que dans les conditions du Contrat et (ii) à ne procéder à aucun autre
traitement des données personnelles du CLIENT qui ne serait pas prévu dans le
Contrat, sauf sur instruction préalable écrite, documentée et légitime du CLIENT.
16.9.3 PATROWL rappelle au CLIENT que toute instruction du CLIENT à PATROWL qui
serait susceptible d'entrainer un non-respect de la Législation sur les données
personnelles (art.28.3.al.2 RGPD), entraine l'obligation pour PATROWL d'en informer
immédiatement le CLIENT.
16.10 CGU "ANNEXE protection des données
personnelles - transfert hors UE"
16.10.1 Les données personnelles des personnes concernées sont stockées et traitées
par PATROWL sur des serveurs situés exclusivement sur le territoire d'un pays (i) de
l’Union Européenne ou de l'Association Européenne de Libre Échange (Islande,
Norvège et Liechtenstein) ou (ii) bénéficiant d'une décision d'adéquation de l'Union
Européenne (principalement Argentine, Canada, Israël, Nouvelle-Zélande, Suisse,
Uruguay, Japon et "Privacy Shield") qui permet à PATROWL d'exporter des données
personnelles sans "autorisation spécifique" (art.45.1 RGPD) des personnes
concernées.
16.10.2 Pour le cas où PATROWL serait amené à exporter tout ou partie des données
personnelles du CLIENT à un sous-traitant situé hors de l'UE dans un pays ne
bénéficiant pas d'une décision d'adéquation, PATROWL s'engage :
(i) à conclure au préalable avec le sous-traitant concerné un contrat écrit de soustraitance
de données personnelles conforme à la Décision de la Commission
européenne n°2010/87/UE du 5 février 2010 (délibération CNIL n°SAN 2019-010
du 21 novembre 2019
(ii) à informer le CLIENT de la conclusion d'un contrat de sous-traitance, à charge
pour le CLIENT d'en informer les personnes dont il demande le traitement des
données personnelles à PATROWL.
16.11 CGU "ANNEXE protection des données
personnelles - registre des activités de traitement"
16.11.1 PATROWL s'engage à tenir à jour un "registre des activités de traitement"
conforme à l'article 30.1 RGPD qui mentionne l'existence du traitement opéré au titre
du Service.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
36
16.12 CGU "ANNEXE protection des données
personnelles - changement de Plateforme
d'Hébergement"
16.12.1 Conformément à la loi n°75-1334 du 31 décembre 1975, par sa signature du
Contrat, le CLIENT agrée expressément la Plateforme d'Hébergement identifiée dans
le Bon de Commande en qualité de sous-traitant des seules prestations
d'hébergement et de stockage du Logiciel et des Données du CLIENT, y compris les
données personnelles, traitées par le Service.
16.12.2 Disposant de nombreux clients utilisant son Service standard accessible à
partir de la Plateforme d'Hébergement identifiée dans le Bon de Commande, il n'est
pas possible à PATROWL de soumettre un changement de Plateforme
d'Hébergement à l'agrément préalable du CLIENT. Le CLIENT reconnaît et accepte
dès à présent que PATROWL sera libre de changer de Plateforme d'Hébergement,
sous réserve d'en informer au préalable le CLIENT et seulement dans le respect des
QUATRE (4) conditions cumulatives suivantes :
(i) la nouvelle Plateforme d'Hébergement offre des performances en termes de
sécurité et de niveau de service aux moins égales à celles de la Plateforme
d'Hébergement identifiées au Bon de Commande;
(ii) la bascule de l'hébergement et du stockage du Logiciel et/ou des Données du
CLIENT vers la nouvelle Plateforme d'Hébergement est opérée par PATROWL
sans interruption du Service;
(iii) la nouvelle Plateforme d'Hébergement respecte l'ensemble des engagements de
PATROWL relatif à la Législation sur les données personnelles tels que prévus au
Contrat;
(iv) PATROWL n'augmente pas le montant de la Redevance.
16.12.3 Dans tous les autres cas, PATROWL s'engage à demander son accord
préalable et écrit au CLIENT pour toute sous-traitance de tout ou partie des prestations
incluses dans le Service.
16.12.4 De manière générale, PATROWL s'engage à ne pas sous-traiter ses propres
prestations à un sous-sous-traitant qui ne respecterait pas l'article 28 RGPD et
privilégiera dans son choix des prestataires (i) présentant des garanties appropriées
(art.46 RGPD) ou (ii) ayant adhéré à un code de conduite (art.40 RGPD) ou (iii) faisant
l'objet d'une certification (art.42 RGPD).
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
37
17 CGU "ANNEXE - MESURES DE SECURITE
RGPD"
17.1 CGU "ANNEXE Mesures de Sécurité RGPD - principes"
17.1.1 "Mesures de Sécurité" désigne l'ensemble des mesures techniques et
organisationnelles appliquées par PATROWL (a) pour assurer "la confidentialité,
l'intégrité, la disponibilité et la résilience constantes" (art.32.1 RGPD) des données,
personnelles ou non, contenues dans la Base de Données du CLIENT traitée par le
Service, en tenant compte de la nature des données personnelles transmises par le
CLIENT pour traitement par PATROWL "de l'état des connaissances, des coûts de
mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement
ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits
et libertés des personnes".
17.1.2 En sa qualité de sous-traitant (art.28 RGPD) des données personnelles du CLIENT,
PATROWL est responsable de plein droit à l'égard du CLIENT de la mise en oeuvre et
du contrôle des Mesures de Sécurité applicables aux données du CLIENT.
17.1.3 De plus, PATROWL s'engage à mettre en oeuvre :
(i) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la
résilience constantes de son Service ;
(ii) des moyens permettant de rétablir la disponibilité des données personnelles du
CLIENT et l'accès à celles-ci dans des délais appropriés en cas d'incident physique
ou technique affectant son Système d'Information ;
(iii) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des
mesures techniques et organisationnelles de son Système d'Information pour
assurer la sécurité du traitement des données personnelles du CLIENT.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
38
17.2 CGU "ANNEXE Mesures de Sécurité RGPD - test
élémentaire de sécurité"
17.2.1 En plus de l'ensemble des Mesures de Sécurité prises par PATROWL et avant tout
usage du Service en production, le CLIENT s'engage à effectuer, seul ou avec
l'assistance d'un tiers professionnel non concurrent direct de PATROWL, "des tests
élémentaires relatifs à la sécurité" du Service (délibération CNIL n°SAN-2018-001 du
8 janvier 2018), par exemple en procédant ou en faisant procéder par un tiers, sous
sa responsabilité, à des tests de vulnérabilité du Service, dans le strict respect des
articles 323-1 à 323-8 Code pénal.
17.3 CGU "ANNEXE Mesures de Sécurité RGPD - engagement
de confidentialité"
17.3.1 L'engagement de confidentialité de PATROWL sur les données du CLIENT est assuré
par le strict cloisonnement logique de chaque domaine du Logiciel installé sur la
Plateforme d'Hébergement : seuls PATROWL et l’Administrateur du CLIENT accèdent
aux données contenues dans la Base de Données du CLIENT.
17.4 CGU "ANNEXE Mesures de Sécurité RGPD - engagement
de disponibilité des données et de résilience du Service"
17.4.1 L'engagement de disponibilité des données et de résilience constantes du Service est
assuré notamment par la Plateforme d'Hébergement agissant pour le compte de
PATROWL et, pour le Logiciel, par les prestations de PATROWL au titre de l'article
CGU "ANNEXE - Maintenance". A ce titre, la Plateforme d'Hébergement assure des
prestations de type "site miroirs" redondants et/ou de secours sur des sites
géographiquement éloignés (Paris/Gravelines) avec engagement sur un délai chiffré
de rétablissement d'accès au réseau et aux données personnelles du CLIENT.
17.5 CGU "ANNEXE Mesures de Sécurité RGPD - monitoring
et évaluation des Mesures de Sécurité"
17.5.1 Grâce à la Plateforme d'Hébergement professionnelle retenue par PATROWL,
PATROWL dispose et met en oeuvre des outils logiciels et des "procédures visant à
tester, à analyser et à évaluer régulièrement l'efficacité" des Mesures de Sécurité
appliquées aux données personnelles du CLIENT (art.32.1 RGPD).
17.5.2 Sans préjudice de la faculté du CLIENT, à ses frais, d’effectuer lui-même ou de faire
effectuer pour son compte (par un tiers non concurrent direct de PATROWL ), un audit
de sécurité sur le Service, PATROWL s'engage à contrôler au moins une fois par an,
par un tiers indépendant, les Mesures de Sécurité mises en oeuvre par PATROWL.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
39
17.6 CGU "ANNEXE Mesures de Sécurité RGPD - chiffrement"
17.6.1 Afin de limiter le risque d'altération ou de divulgation non autorisée des données
personnelles ou non du CLIENT lors de leur envoi sur les réseaux de communications
électroniques, PATROWL s'engage à assurer le chiffrement du transport des données
du CLIENT, par exemple en mettant en place un accès au Service de type "https".
17.7 CGU "ANNEXE Mesures de Sécurité RGPD - notification
des violations"
17.7.1 PATROWL s’engage à informer le CLIENT, sans délai après en avoir pris
connaissance, de toute violation des données personnelles traitées par le Service, (i)
qu'elle qu'en soit l'importance. Il appartient au CLIENT seul de décider d'informer (ou
non) (i) l'Autorité de contrôle dont il dépend (art.33 RGPD) et (ii) les personnes
concernées (art.34 RGPD), lorsque cette violation lui serait reportée par PATROWL.
17.7.2 PATROWL fournira par écrit au CLIENT, et au plus tard dans les SOIXANTE-DOUZE
(72) heures de sa découverte de la violation, l'ensemble des éléments prévus à l'article
33.3 RGPD.
17.8 CGU "ANNEXE Mesures de Sécurité RGPD - engagement
de remédier et de documenter"
17.8.1 En cas de survenance d'une violation des données personnelles du CLIENT,
PATROWL s'engage (i) à prendre au plus vite toutes les Mesures de Sécurité
appropriées relatives au Service pour faire cesser la violation identifiée, notamment
afin de rendre les données personnelles incompréhensibles à toute personne non
autorisée à y avoir accès et (ii) à en justifier par écrit et sans délai au CLIENT.
17.8.2 PATROWL s'engage à documenter par écrit toute violation des données personnelles
du CLIENT intervenant sur la Plateforme d'Hébergement, en indiquant (i) les faits
concernant la violation identifiée, (ii) ses effets et (iii) les mesures techniques
effectivement prises par PATROWL pour y remédier. La documentation ainsi
constituée sera tenue à disposition du CLIENT et/ou de toute Autorité de contrôle.
17.8.3 En cas de survenance d'une violation des données personnelles du CLIENT,
PATROWL s'engage à veiller au caractère formel, écrit et documenté des échanges
entre le CLIENT et PATROWL relatifs aux "actions entreprises", aux "correctifs
apportés" et aux "recommandations qui pourraient être formulées" en matière de
sécurité des données personnelles" (délibération CNIL n°SAN-2018-002 du 7 mai
2018).
17.8.4 PATROWL RAPPELLE AU CLIENT (i) QUE LE SERVICE EST RENDU "DEPART
PLATEFORME D'HEBERGEMENT". EN CONSEQUENCE, PATROWL N'EST EN
AUCUNE MANIERE RESPONSABLE D'UNE VIOLATION DES DONNEES
PERSONNELLES DU CLIENT QUI INTERVIENDRAIT HORS DE LA PLATEFORME
D'HEBERGEMENT.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
40
18 CGU "ANNEXE - ENGAGEMENTS DE
SECURITE"
18.1 CGU "ANNEXE Engagements de Sécurité - gestion des
identifiants"
18.1.1 Les identifiants de connexion du CLIENT au Service, qui permettent notamment au
CLIENT d'accéder au back office de gestion des paramétrages du Logiciel, sont
personnels et confidentiels. Ils sont attribués seulement par les Administrateurs du
CLIENT sous la responsabilité exclusive du CLIENT.
18.1.2 Les identifiants de connexion ne peuvent être changés que par le CLIENT ou, pour
raisons de sécurité des Systèmes d'Information, à l'initiative de PATROWL sous
réserve d’en informer immédiatement le CLIENT.
18.1.3 Le CLIENT s'engage à mettre en oeuvre toutes les mesures nécessaires pour
conserver secrets les identifiants de connexion des Utilisateurs et à ne pas les
divulguer sous quelque forme que ce soit. Le CLIENT est seul responsable de
l'utilisation des identifiants dont il assure seul la gestion grâce au back office du
Logiciel. De manière générale, le CLIENT assume la responsabilité de la sécurité
physique et logique des terminaux d’accès au Service (ordinateur, smartphone,
tablettes, etc.). Dans l’hypothèse où le CLIENT aurait connaissance de ce qu’une
personne non habilitée aurait accès au Service, le CLIENT s'engage à en informer
PATROWL sans délai.
18.1.4 En cas de perte, de vol ou d'usurpation des identifiants d'un Utilisateur, le CLIENT
utilisera immédiatement la procédure du back office du Logiciel qui lui permet
d'invalider les identifiants posant problème et d'en créer de nouveaux. Le CLIENT est
seul responsable de la perte, du vol et de manière générale de toutes les
conséquences d'un vol ou d'une usurpation, volontaire ou non, des identifiants d'un
Utilisateur.
18.2 CGU "ANNEXE Engagements de Sécurité - gestion des
habilitations"
18.2.1 Chaque partie s'engage à mettre en place l'ensemble des Mesures de Sécurité
détaillées dans la présente annexe.
18.2.2 PATROWL s'engage à assurer la confidentialité des données personnelles du CLIENT
et des traitements opérés au titre du Service et à veiller à ce que ses Collaborateurs
et ceux de ses sous-traitants qui accèdent aux données personnelles du CLIENT
soient soumis à une obligation contractuelle de confidentialité ou de secret
professionnel au sens de l'article 226-13 Code pénal. PATROWL s'engage à en
justifier par écrit à première demande du CLIENT.
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
41
18.2.3 PATROWL s'engage à mettre en oeuvre une "politique documentée de gestion et de
contrôle des habilitations avec authentification" (délibération CNIL n°SAN-2018-002
du 7 mai 2018) de ses Collaborateurs et de ceux de ses sous-traitants autorisés à
accéder au Service et/ou à traiter les données personnelles du CLIENT:
(i) par login + mot de passe individuel et personnalisable comme il est dit à l'article
CGU "ANNEXE Engagements de Sécurité - gestion des mots de passe" et/ou
(ii) par un "cookie de session" (délibération CNIL n°SAN-2018-003 du 21 juin 2018)
et/ou un "filtrage des adresses IP… quand bien même cela nécessitait un long
développement" (délibération CNIL n°SAN-2018-011 du 19 décembre 2018) et/ou
la "mise en place d'un VPN" (délibération CNIL n°SAN 2018-008 du 24 juillet 2018).
18.2.4 PATROWL s'engage à mettre en place un "processus de retrait des habilitations" en
cas de départ de ses Collaborateurs bénéficiant précédemment de ces habilitations
(délibération CNIL n°SAN-2018-011 du 19 décembre 2018).
18.2.5 Pour toute fonctionnalité nouvelle ou toute nouvelle version majeure de son Logiciel,
PATROWL s'engage à déployer des "mesures de sécurisation des accès" pensées
"dès la conception" ("privacy by design") (délibération CNIL n°SAN 2018-008 du 24
juillet 2018).
18.2.6 PATROWL s'engage à assurer une "surveillance particulière" de son système
d'authentification et de gestion des habilitations et à procéder régulièrement à sa
"vérification notamment dans le cadre d’audits de sécurité" (délibération CNIL n°MED-
2018-043 du 8 octobre 2018).
18.3 CGU "ANNEXE Engagements de Sécurité - gestion des
mots de passe"
18.3.1 PATROWL s'engage à mettre en oeuvre à l'égard de ses Collaborateurs (et de ceux
de ses sous-traitants) "une politique contraignante relative aux mots de passe utilisés
par les comptes accédant aux bases de données du CLIENT ou aux plateformes
d’administration respectant l’une des modalités suivantes" (délibération CNIL n°MED-
2018-043 du 8 octobre 2018) :
(i) "les mots de passe sont composés d’au minimum 12 caractères, contenant au
moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial"
;
(ii) "les mots de passe sont composés d’au moins 8 caractères, contenant 3 des 4
catégories de caractères (lettres majuscules, lettres minuscules, chiffres et
caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme
par exemple la temporisation d’accès au compte après plusieurs échecs,
(suspension temporaire de l’accès dont la durée augmente à mesure des
tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les
soumissions automatisées et intensives de tentatives (ex : captcha) et/ou le
blocage du compte après plusieurs tentatives d’authentification infructueuses (au
maximum 10)".
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
42
18.3.2 PATROWL s'engage à veiller (i) à éviter "la présence en clair d’identifiants d’accès aux
serveurs [...] dans du code source stocké sur une plateforme" externe de PATROWL
qui constituerait un "outil de travail central dans le développement des activités" de
PATROWL et (ii) que les "identifiants ne soient pas stockés dans un fichier qui ne
serait pas protégé" (délibération CNIL n°SAN-2018-011 du 19 décembre 2018).
18.4 CGU "ANNEXE Engagements de Sécurité - mise en ligne
de documents"
18.4.1 PATROWL s'engage à mettre en place une "fonction modifiant la dénomination des
fichiers enregistrés", d’un "dispositif permettant d’éviter la prévisibilité des URL" et la
protection des "répertoires contenant les documents" afin d'éviter d'identifier "le
chemin d’accès aux dossiers enregistrés", de sorte que "les données ne soient pas
accessibles par une simple modification de l’URL" (délibération CNIL n°SAN 2018-003
du 21 juin 2018).
18.4.2 De plus, PATROWL s'engage à mettre en place une "procédure d’authentification des
utilisateurs" des procédures de téléversement du site web du CLIENT permettant de
s’assurer que "les personnes accédant aux documents [sont] bien celles à l’origine de
leur téléchargement sur le répertoire en question, et que seules celles-ci [peuvent] y
accéder", de sorte que seul "l’émetteur de [la] requête [soit] autorisé à accéder aux
informations demandées" (délibération CNIL n°SAN 2019-005 du 28 mai 2019).
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
43
18.5 CGU "ANNEXE Engagements de Sécurité - engagements
avant et après mise en production
18.5.1 "En amont de toute mise en production" (délibération CNIL n°SAN-2018-002 du 7 mai
2018) d'une nouvelle fonctionnalité, d'une mise à jour majeure ou d'une nouvelle
version majeure de son Logiciel, PATROWL s'engage à procéder à des "mesures
élémentaires de sécurité et correspondant à l'état de l'art" (délibération CNIL n°SAN-
2018-002 du 7 mai 2018), notamment la mise en oeuvre d'un "protocole complet de
test" (délibération CNIL n°SAN-2018-003 du 21 juin 2018) afin de vérifier "l’absence"
de "vulnérabilité" (délibération CNIL n°SAN-2017-010 du 18 juillet 2017). PATROWL
doit s'engager à documenter par écrit ces mesures et protocoles et à tenir cette
documentation à disposition du CLIENT et de toute Autorité de contrôle.
18.5.2 "Après le déploiement" (délibération CNIL n°SAN-2017-012 du 16 novembre 2017) en
production d'une nouvelle fonctionnalité, d'une mise à jour ou d'une nouvelle version
de son Logiciel, PATROWL s'engage à effectuer des "vérifications régulières des
mesures de sécurité" mises en place (délibération CNIL n°SAN 2018-003 du 21 juin
2018), et à réaliser des "tests d’intrusion" et des "audits portant sur le code… adaptés
aux spécificités" (délibération CNIL n°SAN-2018-012 du 26 décembre 2018) des
bases de données du CLIENT utilisées à l'occasion de la fourniture du Service.
PATROWL s'engage à documenter par écrit ces vérifications et à tenir cette
documentation à disposition du CLIENT et de toute Autorité de contrôle.
18.5.3 PATROWL s'engage à porter une attention particulière aux Mesures de Sécurité à
mettre en place à l'occasion de toute "opération délicate requérant une attention
particulière" (délibération CNIL n°SAN-2017-010 du 18 juillet 2017) sur son Système
d'Information comme par exemple "l’opération de changement de serveur…
permettant de communiquer avec un prestataire de paiement" (délibération CNIL
n°SAN-2017-010 du 18 juillet 2017).
Patrowl.io
10 Rue DE PENTHIEVRE - 75008 PARIS 8
XXX000_Contrat de service Patrowl v1.0.docx – v1.3 – 16/11/2021
44
18.6 CGU "ANNEXE Engagements de Sécurité - mesures
d’urgence pour réduire l’ampleur d'une violation de
données"
18.6.1 Si une partie est informée ou découvre une "vulnérabilité" affectant son site web, cette
partie s'engage à "rapidement déployer… des mesures d’urgence… techniquement
simples à mettre en place [et] ayant pour objectif de réduire l’ampleur de la violation
de données" (par exemple, déplacement des fichiers exposés "vers un répertoire
temporaire" ou mise en place de "mesures de filtrage des URL") (délibération CNIL
n°SAN 2019-005 du 28 mai 2019).
18.6.2 Ces mesures d'urgence ne doivent pas être destinées à "corriger la vulnérabilité" et
ne dispense en aucune manière la partie concernée de mettre aussi en place "des
phases d’analyse et de développements techniques" ayant pour objectif de "corriger
la vulnérabilité" identifiée (délibération CNIL n°SAN 2019-005 du 28 mai 2019).
18.6.3 Enfin, la partie informée d'une "vulnérabilité" s'engage à "prendre a minima toutes les
mesures nécessaires dès la connaissance de cette vulnérabilité" et à "anticiper" les
conséquences de cette connaissance au regard de la réalité de son activité en ligne,
de manière à ne pas faire le choix de "privilégier la stabilité de son système
d’information [plutôt que] la correction de la vulnérabilité des données personnelles"
(délibération CNIL n°SAN 2019-005 du 28 mai 2019).
*******[fin de document]*******