PROTECTION DES DONNEES

Les Parties s’engagent à respecter, chacune pour ce qui la concerne, l’ensemble des dispositions qui leur sont applicables au titre de la réglementation relative à la protection des données à caractère personnel, notamment :

• les dispositions de la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés ;
• les dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).

Dans le cadre du Contrat, le Client peut être amené à traiter des données à caractère personnel. Ces traitements de données à caractère personnel, dont la finalité et les moyens sont déterminés par le Client, sont effectués par BE-CLOUD pour le compte et exclusivement sur instruction du Client, lequel déclare par conséquent avoir la qualité de « responsable du traitement » au sens de la règlementation relative aux données à caractère personnel.

Les traitements informatiques de données à caractère personnel, effectués par BE-CLOUD en qualité de « sous-traitant » au sens de la réglementation relative à la protection des données à caractère personnel, pour le compte et sur instruction du Client, présentent les caractéristiques suivantes, dont le Client confirme la conformité à celles qu’il a déterminées :

• Objet du traitement :
• Durée du traitement :
• Nature et finalité du traitement :
• Type de données à caractère personnel :
• Catégories de personnes concernées:
• Durée de conservation de ces données : durée du Contrat.

Le Client déclare connaître les obligations qui lui incombent en sa qualité de responsable du traitement, particulièrement ses éventuelles obligations de tenue d’un registre de ses activités de traitement et de désignation d’un délégué à la protection des données, ou encore ses obligations de notification en cas de violation de données, de réalisation d’analyses d’impact relative à la protection de la vie privée, ou de consultation préalable de l’autorité de contrôle, étant précisé que cette liste n’est pas limitative et qu’il appartient au Client de se renseigner et de faire le nécessaire pour se mettre en conformité avec la réglementation susvisée.

Le Client s’engage à respecter ces obligations. BE-CLOUD ne pourra en aucun cas être tenue responsable d’un quelconque manquement du Client à ses obligations.

Le Client déclare notamment avoir connaissance que des données à caractère personnel ne peuvent être collectées ou traitées que dans le respect de la réglementation relative à la protection des données à caractère personnel, notamment des dispositions de la loi n° 78-17 et du RGPD. En conséquence, le Client doit informer les personnes concernées du traitement de leurs données et doit s’assurer, sous sa responsabilité, que les traitements de ces données reposent sur une base légale et que les personnes concernées ont, le cas échéant, donné leur consentement à la collecte et au traitement de leurs données ainsi qu’à leur transfert à des tiers. Il incombe au Client d’informer les personnes concernées de leurs droits sur leurs données et des modalités d’exercice de ces droits. Le Client garantit en conséquence BE-CLOUD contre tout recours de tiers au sujet du traitement de données à caractère personnel.

Le délégué à la protection des données désigné par BE-CLOUD peut être joint à l’adresse : dpo@be-cloud.fr.

BE-CLOUD s’engage à respecter la confidentialité des données à caractère personnel traitées dans le cadre du Contrat.

En sa qualité de « sous-traitant » au sens de la loi n° 78-17 et du RGPD, BE-CLOUD s’engage en outre à :

1. ne traiter, dans le cadre du Contrat, les données à caractère personnel que sur instruction documentée du Client, responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’elle ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit français ; dans ce cas, BE-CLOUD informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
2. veiller à ce que les personnes autorisées à traiter les données à caractère personnel dans le cadre du Contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
3. prendre toutes les mesures requises en vertu de l’article 32 du RGPD, notamment :

• mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ;
• prendre des mesures afin de garantir que toute personne physique agissant sous son autorité, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du Client, à moins d’y être obligée à moins d’y être obligée par le droit français ou le droit de l’Union européenne ;

1. en cas de recours à un ou plusieurs sous-traitants :

• ne pas recruter de sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du Client. Dans le cas d’une autorisation écrite générale, BE-CLOUD informe le Client de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au Client la possibilité d’émettre des objections à l’encontre de ces changements ;
• lorsqu’un sous-traitant est recruté par BE-CLOUD pour mener des activités de traitement spécifiques pour le compte du Client, imposer à ce sous-traitant les mêmes obligations en matière de protection de données que celles stipulées dans le présent Article, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation relative à la protection des données à caractère personnel ;

1. aider dans la mesure du possible le Client à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage). Dans l’hypothèse où une personne concernée par un traitement de données à caractère personnel s’adresserait directement à BE-CLOUD pour exercer ses droits, BE-CLOUD transmettra cette demande au Client, dès réception, par courrier électronique à l’adresse de contact mentionnée dans le Bon de Commande, ou à toute autre adresse indiquée par le Client ;
2. aider le Client à garantir le respect de la réglementation relative à la protection des données à caractère personnel, et notamment des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition de BE-CLOUD, notamment aider le Client, si nécessaire et sur demande, à assurer le respect de ses obligations découlant de la réalisation des analyses d’impact relatives à la protection des données et de la consultation préalable de Commission nationale de l’informatique et des libertés (CNIL) ;
3. selon le choix du Client, supprimer toutes les données à caractère personnel à la cessation du Contrat, ou les lui renvoyer et détruire les copies existantes, à moins que le droit français ou le droit de l’Union européenne n’exige la conservation des données à caractère personnel ;
4. mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent Article et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. A ce titre, BE-CLOUD informe immédiatement le Client de ce qu’une instruction de ce dernier constituerait, selon elle, une violation de la réglementation relative à la protection des données à caractère personnel.

Dans l’hypothèse où BE-CLOUD aurait connaissance, dans le cadre du Contrat, d’une violation de données à caractère personnel, elle s’engage à notifier cette violation de données au Client dans les meilleurs délais et à fournir au Client toutes informations qui lui permettront de respecter ses propres obligations.

BE-CLOUD s’engage à veiller à ce que les personnes autorisées à participer, dans le cadre du Contrat, aux opérations de traitement de données à caractère personnel, soient sensibilisées et reçoivent une formation appropriée en matière de protection des données à caractère personnel.

BE-CLOUD déclare tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client, comprenant :

• le nom et les coordonnées du ou des sous-traitants ainsi que, le cas échéant, les noms et les coordonnées du représentant du Client ou du sous-traitant et celles de leur éventuel délégué à la protection des données ;
• les catégories de traitements effectués pour le compte du Client ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, du RGPD, les documents attestant de l’existence de garanties appropriées ;

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1 du RGPD.

 

 

Accès aux Données et Utilisation

 

Les Parties s’engagent à respecter, chacune pour ce qui la concerne, l’ensemble des dispositions qui leur sont applicables au titre du Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 relatif à l’accès et à l’utilisation des données (Règlement « Data Act »).

 

BE-CLOUD conçoit et fournit les Services de telle sorte que, par défaut, les Données générées par l’utilisation des Services ainsi que les métadonnées pertinentes nécessaires à leur interprétation et à leur utilisation soient facilement accessibles au Client, de manière aisée, sécurisée, sans frais supplémentaires, dans un format complet, structuré, couramment utilisé et lisible par machine.

Lorsque les Données comportent des données à caractère personnel, BE-CLOUD veille à ce que les modalités d’accès mises en œuvre permettent également à la personne concernée d’exercer son droit d’accès et son droit à la portabilité au sens de l’article 20 du RGPD, dans les limites définies par ce texte (données fournies activement ou observées, exclusion des données déduites ou dérivées).

Le Client peut à tout moment extraire les Données générées par l’utilisation des Services via les fonctionnalités standards d’export prévues au sein des Services ou, le cas échéant, par la mise à disposition d’API documentées. BE-CLOUD s’engage à maintenir ces fonctionnalités pendant toute la durée du contrat.

BE-CLOUD fournit au Client, préalablement à la conclusion du contrat et pendant son exécution, une information claire et compréhensible sur :

• les catégories de Données générées par l’utilisation des Services ;
• les formats d’export disponibles ;
• les limitations techniques éventuelles ;
• les coûts éventuels associés à des exports exceptionnels ou à forte volumétrie, distincts des exports standards sans frais.

À la demande expresse du Client ou d’une partie agissant pour son compte, BE-CLOUD met les Données générées par l’utilisation des Services, ainsi que les métadonnées pertinentes nécessaires à leur interprétation et à leur utilisation, à la disposition d’un « Tiers désigné », sans retard injustifié et à un niveau de qualité identique à celui dont bénéficie BE-CLOUD.

Lorsque les Données comportent des données à caractère personnel, la mise à disposition au Tiers désigné n’intervient que :

• si une base légale de traitement est identifiée conformément à l’article 6 du RGPD ;
• si les règles applicables au traitement de catégories particulières de données sont respectées ;
• si les obligations d’information prévues par le RGPD sont satisfaites.

BE-CLOUD et le Client conviennent que :

• le Tiers désigné n’acquiert aucun droit autonome sur les Données au‑delà de ce qui est nécessaire à l’exécution des instructions du Client ;
• le Tiers désigné s’engage à respecter un niveau de sécurité et de confidentialité au moins équivalent à celui imposé à BE-CLOUD ;
• la responsabilité de la licéité de la demande de transmission au Tiers désigné incombe au Client, sans préjudice des obligations propres de BE-CLOUD en matière de protection des données personnelles.

BE-CLOUD documente les demandes de mise à disposition des Données à des Tiers désignés et conserve la preuve de leur exécution, au titre de son obligation de rendre compte et de démontrer sa conformité à la réglementation.

BE-CLOUD reconnaît que, conformément au Règlement « Data Act », des organismes du secteur public, la Commission européenne, la Banque centrale européenne ou d’autres organes de l’Union peuvent, dans des situations de besoin exceptionnel (urgence publique ou mission spécifique d’intérêt public), solliciter l’accès à certaines Données détenues par BE-CLOUD.

En cas de réception d’une telle demande, BE-CLOUD :

• en informe sans délai le Client, sauf interdiction légale contraire ;
• vérifie la compétence de l’autorité requérante et le fondement juridique de la demande ;
• ne communique que les Données strictement nécessaires à la finalité invoquée, dans un format structuré et lisible par machine.

Lorsque les Données comportent des données à caractère personnel, BE-CLOUD veille à ce que toute communication soit conforme au RGPD, notamment en matière de base légale, de minimisation et de sécurité des traitements

BE-CLOUD tient un registre des demandes émanant d’autorités publiques et des réponses apportées, accessible au Client sur demande, sous réserve des restrictions légales applicables.

BE-CLOUD prend toutes mesures raisonnables pour prévenir et limiter les risques d’accès international illicite aux données à caractère non personnel par des autorités de pays tiers, conformément aux objectifs du Règlement « Data Act ».

En cas de violation de Données, BE-CLOUD :

• informe sans délai le Client ;
• fournit toutes informations utiles sur la nature de l’incident, les Données concernées, les mesures correctrices prises ou envisagées ;
• coopère avec le Client pour lui permettre de respecter, le cas échéant, ses propres obligations de notification aux autorités de contrôle (CNIL notamment) et aux personnes concernées.

 

Réversibilité et Changement de Fournisseur

Les termes commençant par une majuscule qui ne sont pas définis au Contrat ont la signification qui leur est donnée dans le Règlement « Data Act ».

 

Conformément au Règlement « Data Act », le Client dispose du droit de résilier le Contrat afin de migrer ses Données Exportables et ses Actifs Numériques (ci-après ensemble les « Données ») vers un autre fournisseur de services de traitement de données ou vers sa propre Infrastructure TIC sur site (ci-après le « Changement de fournisseur »), ou d’effacer ses Données.

Pour initier cette procédure, le Client doit le notifier à BE-CLOUD par écrit. La procédure de Changement de fournisseur débutera à l’issue d’un préavis qui ne saurait excéder deux (2) mois à compter de la réception de la notification. À l’issue de la période de préavis, une période transitoire obligatoire d’une durée maximale de trente (30) jours calendaires s’applique. Durant cette phase, le Contrat reste en vigueur pour garantir la continuité des Services. Le Client peut prolonger cette période transitoire une seule fois pour la durée qu’il juge nécessaire à ses besoins. En cas d’impossibilité technique de BE-CLOUD, ce dernier en informera le Client sous 14 jours ouvrables, avec une prolongation maximale possible de 7 mois.

 

Pendant toute la durée de la procédure de Changement de fournisseur, BE-CLOUD s’engage à :

• fournir une assistance raisonnable au Client et aux tiers autorisés pour faciliter le transfert ;
• agir avec la diligence requise pour maintenir la continuité des fonctions et des services sans interruption ;
• informer le Client des risques connus pour la continuité des Services relevant de sa responsabilité, et notamment des éventuelles limitations techniques liées à l’infrastructure de destination choisie par le Client si elles sont connues de BE-CLOUD ;
• garantir un niveau élevé de sécurité des Données, particulièrement lors de leur transfert et durant la période de récupération ;
• collaborer activement à la stratégie de sortie du Client en communiquant toute information pertinente.

Le transfert porte sur l’intégralité des Données fournies ou générées directement ou indirectement par le Client, telles qu’énumérées de manière exhaustive ci-dessous. Sont exclues les données spécifiques au fonctionnement interne de BE-CLOUD constituant des secrets d’affaires, sous réserve que cette exclusion n’entrave pas la procédure de Changement de fournisseur.

BE-CLOUD s’engage à restituer l’intégralité des Données (incluant les données générées, les métadonnées de fonctionnement et les configurations exportables) dans un format structuré, couramment utilisé, lisible par machine et fondé sur des normes ouvertes. Pour faciliter cette extraction, BE-CLOUD maintien des interfaces de programmation (API) ouvertes et documentées, accessibles gratuitement au Client ou au tiers désigné par lui.

 

À l’issue de la période transitoire, le Client dispose d’un délai minimal de trente (30) jours calendaires pour récupérer ses Données. Après confirmation expresse du Client (ou de son nouveau prestataire) que l’extraction des Données a été réalisée avec succès, BE-CLOUD procédera à l’effacement intégral des Données Exportables et Actifs Numériques du Client après l’expiration du délai de récupération, conformément aux obligations légales en vigueur et sauf accord contraire entre les parties.

 

Le Contrat est considéré comme résilié de plein droit :

• soit à l’achèvement réussi du processus de Changement de fournisseur ;
• soit au terme du délai de préavis si le Client choisit de ne pas migrer mais de simplement supprimer ses Données.

 

Conformément à l’article 29 du Règlement « Data Act » :

• jusqu’au 11 janvier 2027 : BE-CLOUD ne facturera au Client que les coûts directs, réels et justifiés, spécifiquement induits par l’assistance technique apportée lors du processus de Changement de fournisseur.
• à compter du 12 janvier 2027 : le processus de Changement de fournisseur et l’extraction des Données seront réalisés sans aucun frais (redevance de changement) pour le Client.

BE-CLOUD s’interdit d’accéder aux données générées ou fournies par le Client, ou de les utiliser, à des fins autres que la stricte exécution du Contrat et l’amélioration technique des Services fournis. Toute autre utilisation requiert l’accord exprès et préalable du Client.

Aucune stipulation du Contrat ne saurait avoir pour effet d’exclure ou de limiter la responsabilité de BE-CLOUD en cas de faute intentionnelle ou de négligence grave dans l’exécution de ses obligations lors de la phase de réversibilité.