Arkhineo

Conditions générales du Service "Archivage de Données Electroniques» (ADE)

Article 1. PREAMBULE

Afin de promouvoir l’échange de données électroniques comme moyen de communication dans le cadre de relations commerciales et administratives, et de garantir leur pérennité et leur récupération, Docaposte Arkhineo propose un service d’archivage électronique à valeur légale de Documents Électroniques, sous la marque Arkhineo. L’opération d’Archivage (ci-après le Service) consiste à collecter l’information, la conserver dans son format original et permettre sa consultation sur demande ainsi que sa récupération.
Le présent document précise les conditions régissant l’utilisation du Service d’archivage électronique de documents par le Client via l’Application.
Afin d’éviter toute ambiguïté, eu égard au Service fourni et aux lois applicables en matière de protection des données (RGPD), les Parties acceptent et reconnaissent que :
Le Client est le Responsable du Traitement,
Le Revendeur est un Sous-traitant,
Docaposte Arkhineo (la Société) est un Sous-traitant.

Article 2. DEFINITIONS

Administrateur de l’Application : désigne l’entité qui gère les droits d’accès aux fonctions de l’Application pour les Utilisateurs autorisés

Application : Service assuré par Docaposte Arkhineo, permettant au Client d’accéder au Service ADE.

Archivage : fait référence à l’opération qui consiste à collecter un Document Électronique transféré par le Client, le conserver dans son format original et permettre sa Consultation ainsi que sa Récupération.

Archive : désigne un Document Électronique reçu par la Société et ayant fait l’objet de l’attribution d’un IUA. L’Archive sert de base à la facturation.

Bon de commande : désigne le document de commande en ligne ou papier entre le Client et le Revendeur, spécifiant le Service ADE commandé par le Client auprès du Revendeur. En cas de litige lié au Service ADE commandé, sur les conditions du Service, sur la descriptions du produit ou à toute condition d’abonnement applicable (par exemple, dates de début et dates de fin de commande) entre un Bon de Commande et le bon de commande correspondant entre le Revendeur et la Société, les conditions litigieuses du Bon de Commande entre le Revendeur et la Société s’appliqueront au Client.

Client : désigne la personne morale qui a commandé au Revendeur le Service ADE.

Conditions Générales (ci-après CG) : désigne le présent document.

Compartiment : espace d’Archivage dédié à un Client.

Consultation : désigne les différentes possibilités offertes au Client afin de consulter ses Archives.

Contrat : désigne les Conditions Générales

Convention d’Achat : désigne le formulaire de commande et tout autre document entre le Client et le Revendeur relatif à l’achat par le Client du Service ADE auprès du revendeur.

Dépôt : désigne l’opération qui consiste à conserver et récupérer de manière intégrale une Archive reçue du Client.

Destruction : désigne la procédure technique permettant de rendre définitivement et logiquement inaccessible l’intégralité ou une partie des Archives du Client, détenues par la Société, à la demande expresse du Client.

Document Électronique : désigne un ensemble de données informatiques structurées, envoyé par le Client. Cet ensemble de données, qui peut contenir plusieurs fichiers, est censé être conservé par la Société en l’état, qu’il concerne des données ou des programmes d’application, et qu’il soit interprétable ou non.

Données de santé à caractère personnel : désigne les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne (article 4, 15e du Règlement (UE) 2016/679 du 27 avril 2016) ».

Durée de Conservation : désigne la durée pendant laquelle la Société s’engage à conserver une Archive dans son système.

Format : fait référence au format original des Documents Électroniques reçus du Client, sans que la Société ne puisse intervenir pour le modifier.

Horodatage : fait référence au processus permettant à la Société d’attribuer à chaque Document Électronique reçu une heure GMT précise via un GPS.

Identification : désigne la procédure permettant à l’Utilisateur Autorisé du Client de se faire connaître et d’être identifié par la Société.

Intégrité : désigne une propriété garantissant que le Document Électronique n’a pas été modifié par la Société et qu’il est conservé dans son Format original.

IUA : Identifiant Unique d’Archive automatiquement généré par la Société pour chaque Archive afin de l’identifier de façon certaine et permanente, fournissant une preuve de dépôt d’un Document Électronique.

Jeton de Sécurité : désigne le code confidentiel généré par le Service ADE, attribué à un Client, et permettant à ce dernier d’être identifié et authentifié dans le cadre de ses échanges via l’Application.

Journal des Téléchargements : désigne le document à valeur légale répertoriant les Archives par ordre chronologique. Ce journal est accessible au Client dans l’Application à des fins de vérification des Téléchargements.

Métadonnées : désigne un ensemble structuré d’informations techniques, de gestion et de description, attaché à un document servant à décrire les caractéristiques de ce document en vue de faciliter son repérage, sa gestion, sa consultation, son usage ou sa conservation.

Objet d’Archive : désigne un Document Électronique faisant l’objet de l’archivage.

Patient :désigne le propriétaire des Données de Santé à caractère personnel.

Prestataire de Services Réseaux : désigne l’entité tierce qui transfère les données et assure tout service connexe entre les Parties par voie électronique.

Récupération : désigne le processus par lequel le Client demande à la Société de restituer une ou plusieurs Archives sur un support externe, notamment à la fin des relations contractuelles, afin de garantir la réversibilité.

Revendeur : désigne une entité qui a passé un contrat avec la Société ou l’un de ses distributeurs agréés pour revendre le Service ADE et avec laquelle le Client a directement souscrit le contrat d’achat du Services ADE.

Réversibilité : désigne le processus de récupération de l’ensemble des Archives.

Service ADE : désigne le système d’Archivage de Données Électroniques, identifié sous le nom de « Service ADE », y compris les fonctions de Téléchargement et Consultation.

Société : désigne Docaposte Arkhineo

Téléchargement : désigne l’action du Client qui consiste à confier à la Société, via l’Application, un Objet d’Archive ainsi que ses Métadonnées.

Utilisateur Autorisé : fait référence à une personne physique dûment autorisée par le Client à présenter une demande pour le compte de ce dernier via l’Application.

Article 3. LES OBLIGATIONS DE LA SOCIETE

La Société déclare que l’Archivage est réalisé sur des serveurs situés exclusivement sur le territoire de l’Union européenne et dans plusieurs centres de données. Le service d’Archivage de Données Électroniques (ADE) repose sur une architecture technique constituée des sites décrits ci-après.

Site n° 1 d’archivage actif constitué des éléments suivants :

  • Dispositions techniques visant à assurer la collecte des Documents Électroniques soumis par le Client et la Consultation des Archives. Elles utilisent un accès dédié aux télécommunications.
  • Une unité d’Archivage primaire à haute disponibilité, dans laquelle chaque Archive fait l’objet d’un double Archivage sur deux supports distincts.

Site n° 2 d’archivage actif, distant de plus de 300 mètres du site actif n° 1 et situé sur un niveau géologique différent, constitué des éléments suivants :

  • Une unité d’Archivage secondaire à haute disponibilité, dans laquelle chaque Archive fait l’objet d’un double Archivage sur deux supports distincts.

Site de sauvegarde, distant de plus de 400 kilomètres des sites actifs n° 1 et 2, constitué des éléments suivants : une copie de sauvegarde quotidienne de chaque Archive collectée.
Ces trois sites sont localisés dans des bâtiments sécurisés, propriété de la Caisse des Dépôts et Consignations. Ces sites comportent des équipements de sécurité anti-intrusion, de détection et d’extinction d’incendie, de climatisation et d’alimentation électrique redondante avec groupes de secours.

La Société s’engage à mettre en œuvre et maintenir en vigueur, dans la mesure du possible, des procédures, à la fois physiques et informatiques, et des mesures de sécurité visant à protéger les données contre les risques de destruction, de perte d’intégrité ou de violation de la confidentialité, dans les limites des possibilités techniques les plus récentes et sous réserve de la conformité du Client aux prérequis techniques.

Ces procédures sont destinées à garantir qu’un Document Électronique reçu par la Société est archivé dans son format original et qu’il sera conservé en vue de sa Consultation et d’une éventuelle Récupération.

Le Service ADE est assuré par la Société conformément à la norme AFNOR NF Z 42-013 (« Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes »).

À cet égard, la Société confirme avoir obtenu la certification NF 461 – Système d’Archivage Électronique le 05/02/2019 sous le numéro 70331.4 ; cette dernière garantit la conformité d’un Système d’Archivage Électronique aux normes AFNOR NF Z 42-013 et ISO 14641-1.

En sa qualité de dépositaire d’Archives, la Société est tenue de récupérer pour le Client les Documents Électroniques archivés dans leur intégralité. Concernant toutes les autres prestations de services en dehors de la Récupération des Archives, à savoir le Téléchargement et la Consultation, la Société s’engage à assurer lesdits services, qui ne font pas partie du contrat de dépôt à proprement parler, sur la base d’une obligation de moyens, conformément aux niveaux de service énoncés à l’article 8.

La Société archive et conserve conformément à la législation applicable tous les Documents Électroniques reçus, en prenant toutes les mesures de sécurité visant à surveiller l’Intégrité desdits Documents Électroniques.

La Société met en œuvre tous les moyens nécessaires pour garantir les performances et la disponibilité du Service ADE. Toutefois, en règle générale, la Société ne garantit pas que l’Application sera exempte d’erreurs ou de défaillances, ni que le Service ADE fonctionnera sans interruption. La responsabilité de la Société est exclue concernant l’ensemble des équipements et infrastructures du Client ainsi que ceux de la plateforme tierce.

Article 4. OBLIGATIONS DU CLIENT

4.1 Gestion des accès

Le Client est seul responsable de l’accès au Service ADE, notamment en vue de préserver la confidentialité des codes d’accès et mots de passe qui lui ont été attribués.

Le Client accède au Service grâce aux moyens d’authentification et aux mots de passe qui lui sont attribués conformément à la procédure déterminée lors de la phase de mise en œuvre du Service, ou via le portail MyArkhineo.
Afin d’accéder au Service via le portail MyArkhineo, le Client demeure seul responsable de l’utilisation de ses moyens d’authentification et mots de passe.

Toute perte ou utilisation frauduleuse de ses moyens d’authentification ou mots de passe doit être notifiée dès que possible par le Client à la Société. L’accès au Service par le biais des moyens d’authentification, notamment les mots de passe du Client, est réputé avoir été effectué par le Client, tant que leur utilisation frauduleuse n’a pas été notifiée à la Société conformément à la procédure alors en vigueur.

Le Client peut utiliser une protection spécifique pour l’ensemble ou une partie des informations archivées, telle qu’une méthode de chiffrement, dans la mesure où aucune disposition légale ou réglementaire ne l’interdit. Dans ce cas, le Client garantira, sous sa seule et entière responsabilité, la bonne garde des clés nécessaires au déchiffrement des informations ainsi conservées.

Le Client reconnaît que seuls les utilisateurs autorisés par l’Administrateur de l’Application ont accès aux fonctions d’archivage de l’Application. Le Client se porte garant du respect de la confidentialité et de la sécurité des moyens d’accès à l’Application par ses Utilisateurs Autorisés.

4.2 Format d’archivage et prérequis techniques

Les Documents Électroniques sont conservés exclusivement dans leur format original et le Client est seul responsable du choix des formats électroniques, et de leur pérennité.

La Société recommande au Client d’utiliser les formats standards, normalisés et pérennes ; ces formats sont répertoriés dans le document « E-MA-20_LISTE-FORMATS » fourni par la Société.

Si le Client choisit un ou plusieurs formats figurant dans cette liste, la Société sera en mesure d’appliquer un processus de validation au format de chaque Document Électronique confié par le Client et de rejeter les Documents Électroniques invalidés, selon les modalités établies dans la politique d’archivage de la Société.

Si le Client choisit, sous sa responsabilité, un ou plusieurs formats qui ne figurent pas sur la liste des formats préconisés, la Société sera en mesure de les conserver conformément aux engagements contractuels stipulés dans les présentes CG, mais ne pourra pas les valider lorsque le Client utilisera la fonction Téléchargement.

En outre, sur ce dernier point, la Société rappelle que l’utilisation de formats non standards est susceptible de remettre en cause la pérennité des documents en termes de lisibilité dans le temps.

À cet égard, la Société rappelle que les formats des Documents Électroniques sont par nature évolutifs. En conséquence, il incombe au Client de conserver le logiciel permettant de lire les fichiers et, le cas échéant, d’utiliser les Archives durant leur Consultation ou une éventuelle Récupération, et d’avoir recours à toutes les compétences requises à cet effet.

Dans la mesure où elle n’a pas accès au contenu des Documents Électroniques, la Société déclare ne pas être en mesure de détecter ou d’éliminer la présence de virus, de quelque nature que ce soit, dans ces Documents Électroniques.

Le Client reconnaît que la Société décline toute responsabilité quant au contenu, à la nature ou aux caractéristiques des Documents Électroniques archivés. Dans ce contexte, le Client garantit la Société contre toute réclamation ou action d’un tiers, relative au contenu, à la nature ou aux caractéristiques des Documents Électroniques.

Le Client peut utiliser une protection spécifique pour l’ensemble ou une partie des informations archivées, telle qu’une méthode de chiffrement, dans la mesure où aucune disposition légale ou réglementaire ne l’interdit.

Dans ce cas, le Client garantira, sous sa seule et entière responsabilité, la bonne garde des clés nécessaires au déchiffrement des Archives ainsi conservées.

De manière plus générale, le Client s’engage à s’acquitter de toutes les obligations présentes ou futures qui lui incombent en vertu de la loi, d’un règlement, d’un avis juridique, de normes professionnelles, de la jurisprudence, d’une autorité compétente et de la déontologie professionnelle en vigueur, et garantira le respect de ces conditions par les Utilisateurs Autorisés.

Il appartient au Client de veiller à disposer de l’environnement et des équipements opérationnels nécessaires à la mise en œuvre du Service ADE.

Article 5. DESCRIPTION DU SERVICE ADE

Le Client reconnaît que l’Application est exécutée sur la plateforme technique de Docaposte Arkhineo. Ainsi, avant l’activation du Service ADE, le Client reconnaît avoir lu et accepté les termes du Contrat d’abonnement concernant la plateforme technique de Docaposte Arkhineo.

5.1 Spécifications techniques et fonctionnelles du Service ADE

L’espace Client comprend un compartiment dédié au sein de l’espace d’archivage de tous les clients de l’Application. Cet espace Client est créé lorsque l’Application est activée par le Client.

Lors du Téléchargement d’un Objet d’Archive, l’Utilisateur Autorisé envoie les Métadonnées par l’intermédiaire de l’Application, en plus de l’Objet d’Archive lui-même. 

Lors du processus d’Archivage, une Archive est constituée et sécurisée dans le compartiment du Client. Lors du Téléchargement d’un Objet d’Archive, un IUA est attribué (une chaîne de 41 caractères, dont les 17 premiers représentent la date et l’heure du dépôt). La validité de cet IUA est garantie pendant toute la durée de conservation de l’Archive.

Un document est Téléchargé par l’intermédiaire de l’Application en utilisant un accès sécurisé au réseau. Un Téléchargement réussi donne lieu à la création d’un IUA.

Les Métadonnées comprennent les champs des pièces jointes et l’objet auquel la pièce jointe est rattachée. Ces Métadonnées sont utilisées pour rechercher les Archives.

Le scellement est également une composante spécifique de l’Archive. Il concerne un fichier au format XAdES. Il comporte les empreintes de chacune des structures :

  • Objet d’Archive,
  • Métadonnées applicatives,
  • Métadonnées descriptives 

Il contient également le lien avec l’Archive précédente. Ce lien est constitué de l’IUA de l’Archive précédente et de l’empreinte de son scellement. Le scellement de l’Archive contient également les informations relatives au dépôt (déposant, adresse IP du déposant, protocole utilisé).

La recherche et l’extraction d’une Archive peuvent être effectuées à deux niveaux. Au premier niveau, la recherche est réalisée dans l’Application dans les Objets d’Archives. Au second niveau, s’il est activé, via le portail MyArkhineo.

Concernant la preuve d’Archivage, l’Utilisateur Autorisé peut demander, via une fonction accessible dans l’Application, de générer une preuve d’Archivage associée à une Archive. Il s’agit de tous les éléments techniques démontrant l’intégrité et la sécurité de l’Archive. La Société garantit la traçabilité des opérations d’Archivage. 

En outre, le Service ADE garantit la traçabilité permanente des opérations d’Archivage. 

 

5.2 LIMITATIONS

La Société s’engage à conserver les Archives du Client conformément aux pratiques usuelles de la profession.

La Société ne saurait être considérée comme une société de conseil ni engager sa responsabilité quant aux choix des ordinateurs ou paramètres réseau exploités par le Client sous sa seule et entière responsabilité, le cas échéant, avec l’aide d’un prestataire de services informatiques qu’il aura librement choisi.

De même, dans la mesure où la Société n’est pas un prestataire de services de télécommunications, elle décline toute responsabilité quant aux dysfonctionnements relatifs à la technologie utilisée par le Client et aux dysfonctionnements, de quelque nature que ce soit, imputables à la plateforme technique tierce.

Article 6. CONDITIONS FINANCIERES

Le Client se conformera aux conditions de la Convention d’Achat. Le Client reconnaît que le respect des termes de la Convention d’Achat est une condition essentielle du présent contrat. Si le Revendeur informe la Société que le Client enfreint la Convention d’Achat, la Société peut estimer que le client a enfreint le présent contrat.

En conséquence, le Client s’engage à régler les factures adressées par le Revendeur agréé conformément aux conditions énoncées dans le contrat conclu avec ce dernier.

Tout retard de paiement des factures exigibles de la part du Client donnera lieu, 15 (quinze) jours après une mise en demeure restée sans effet, et jusqu’au paiement intégral, aux conséquences suivantes :

  • la suspension de la consultation des Archives,
  • après 30 (trente) jours civils, la suspension de la fonction Téléchargement pour tout nouveau Document Électronique.

Le Client déclare et convient également que, conformément aux dispositions légales applicables au contrat de dépôt, si le Client ne règle pas toutes les factures exigibles dans leur intégralité, la Société peut, en particulier en cas de litige avec cette dernière, exercer son droit de rétention à l’égard de toute demande de Récupération d’une ou de plusieurs Archives, ledit droit de rétention étant valable vis-à-vis d’une Partie, même un tiers, y compris tout organe chargé d’une procédure collective d’insolvabilité.

 

Article 7. MODALITES D’ARCHIVAGE DES DONNEES DE SANTE A CARACTERE PERSONNEL

Le présent article est applicable uniquement en cas d’hébergement de Données de santé à caractère personnel par la Société. La Société déclare avoir reçu la certification « Hébergeur de données de santé ».

7.1 Obligation d’information de la personne concernée

L’hébergement des Données de santé à caractère personnel, les modalités d’accès et de transmission, sont subordonnées à un devoir d’information de la personne concernée. Les personnes concernées par les Données de santé à caractère personnel doivent être informées que leurs données seront conservées chez un hébergeur de données de santé et qu’ils peuvent s’opposer à ce que ces données soient confiées à un hébergeur de données de santé.

Compte tenu de la compétence exclusive du Client dans le recueil ou la production des Données de santé à caractère personnel à l’occasion de ses activités, celui-ci est en charge d’informer la personne concernée. Le Client s’engage à assurer cette obligation auprès de la personne concernée.

La Société informera le Client dès qu’un incident grave consistant en la divulgation non autorisée des données ou leur altération est détecté.

En qualité de responsable de traitement, le Client met en place les procédures de signalement de ces incidents graves auprès des personnes concernées par les données de Santé, qui pourront accéder aux données ou les rectifier selon les modalités décrites ci-dessous.

7.2 Droit d’accès et de rectification

Conformément aux dispositions du Règlement (RGPD) , l’utilisateur final peut exercer son droit d’accès et de rectification auprès du Client responsable de traitement.

Toutefois, la Société, agissant comme sous-traitant, met à sa disposition une connexion sécurisée avec authentification forte correspondant au seul accès possible aux données de santé hébergées.

La Société n’assure pas le service de « guichet client » pour accéder aux données de santé, seul l’Utilisateur Final peut y accéder en authentification forte par certificat Docaposte Arkhineo.

Le Client s’engage à assurer auprès de la personne concernée l’obligation d’information de ses droits d’accès et de rectification des Données de santé à caractère personnel.

7.3 Confidentialité

Les Données de santé à caractère personnel sont strictement confidentielles et font l’objet de mesures de sécurité par la Société.

Dans le cas spécifique de l’hébergement des Données de santé à caractère personnel, seul le médecin hébergeur sous contrat de prestation avec la Société peut avoir un accès aux Archives conservées par la Société et ce quelle qu’en soit l’origine et/ou les personnes concernées. Cet accès est restreint à la seule exécution par le médecin de ses missions telles que définies dans le contrat conclu avec la Société.

Article 8. REVERSIBILITE

Lorsque les relations contractuelles entre le Client et la Société prennent fin, pour quelque raison que ce soit, les Archives peuvent, à la demande du Client, lui être restituées sous réserve des trois conditions suivantes :

  • que toutes les sommes dues à la Société ont été payées, y compris celles liées à la demande de Récupération ;
  • qu’il formule expressément (par courrier recommandé avec accusé de réception) sa demande de Récupération le jour de la cessation effective des relations contractuelles ;
  • que sa demande concerne toutes les Archives.

Le Client disposera d’un délai de 30 (trente) jours civils pour récupérer ses Archives dans le menu de l’Application prévu à cet effet.

À la demande expresse du Client, les Archives peuvent lui être restituées sur un support amovible (CD-ROM, DVD-ROM, etc.). Ce service sera facturé par la Société au prix de 285 € HT/support amovible.

La restitution par la Société dégagera cette dernière de son obligation de conserver les Archives.

Si le Client ne récupère pas ses Archives dans le délai indiqué précédemment, la Société détruira l’ensemble des Archives en question.

Article 9. NIVEAUX DE SERVICE

La Société met en œuvre tous les moyens nécessaires pour garantir les performances et la disponibilité optimale du Service ADE.

La Société fournit un support relatif à l’utilisation du Service ADE en langue française et anglaise, par e-mail. Le service de support est uniquement accessible au profit de l’Administrateur unique de l’Application. Le Client s’engage à fournir la description la plus précise du problème rencontré afin de permettre à la Société de comprendre les causes dudit problème et d’y remédier. En s’appuyant sur la description du problème rencontré par le Client, la Société répondra à toute demande de support dans un délai de deux (2) jours ouvrables à compter de la réception de l’e-mail notifiant la demande de support.

La garantie de disponibilité décrite ci-après s’applique uniquement aux infrastructures et équipements qui constituent le Centre d’Archives Électroniques (CAE) de la Société, et permettent de fournir le Service ADE au Client.

Cette garantie exclut expressément l’ensemble des équipements et infrastructures du Client ainsi que ceux entre le Client et le CAE de la Société.

Compte tenu des progrès technologiques, la Société se réserve le droit d’actualiser les niveaux de service à tout moment, après avoir informé le Client des modifications apportées, sous réserve que le niveau de qualité de service soit maintenu ou amélioré.

9.1 Taux moyen de disponibilité hors maintenance et pénalités

  • Le taux moyen semestriel de disponibilité pour la fonction Téléchargement s’élève à 99,8 %.
  • Le taux moyen annuel de disponibilité pour la fonction Consultation s’élève à 99,7 %.

9.2 Maintenance

Afin d’optimiser le Service et d’assurer son bon fonctionnement, la Société pourrait devoir interrompre le Service ADE pour des raisons de maintenance.

À titre indicatif, il est prévu que les interruptions relatives à la maintenance courante auront lieu en principe entre 0 h (minuit) et 4 h (quatre heures) du matin, dans la limite d’une interruption par trimestre.

Toute interruption du Service relative à la maintenance sera notifiée au Client au préalable par e-mail. À cet effet, le Client doit communiquer à la Société le nom de la personne qui doit être informée par cette dernière, ainsi que son numéro de téléphone et son adresse e-mail. Le Client s’engage également à informer immédiatement la Société d’éventuelles modifications de ces coordonnées. En outre, la Société décline toute responsabilité en cas de retard ou défaut de notification de ces modifications au Client, si ce dernier omet de mettre à jour ses fichiers.

Par ailleurs, en cas de modification technique du Service affectant la façon dont le Client utilise la fonction Téléchargement ou Consultation via l’API, la Société l’informera par tout moyen nécessaire, moyennant un préavis de 30 (trente) jours.

Article 10. RESPONSABILITE

En sa qualité de dépositaire d’Archives, la Société est tenue de récupérer pour le Client les Documents Électroniques archivés dans leur intégralité, en vertu d’une obligation de résultat.

La Société sera uniquement responsable des dommages directs résultant de ses propres actions dans le cadre de l’exécution de ses obligations, dont la preuve incombe au Client.

Les Parties conviennent que la Société ne saurait être tenue pour responsable, à la fois envers le Client et les tiers, de l’ensemble des dommages indirects tels que l’interruption d’activité, la perte de clients, le préjudice commercial, la perte d’investissements, la perte de données et/ou de fichiers, la perte de revenus, la perte d’opportunités ou la détérioration de l’image de marque ainsi que de tout incident et/ou toute indisponibilité qui pourraient survenir sur la plateforme technique tierce et les réseaux de télécommunications utilisés.

La Société a souscrit une police d’assurance responsabilité professionnelle couvrant les préjudices moraux, consécutifs ou autres, causés au Client dans le cadre de l’exécution du Service ADE.

Le Client reconnaît et accepte que le Revendeur n’a aucune responsabilité envers le Client en ce qui concerne la Société fournissant le Service ADE ou d’autres services fournis par la Société au Client. Les seuls recours du Client en cas de défaillance du Service ADE ou des autres services fournis par la Société à un Client sont limité ment à la Société. Le revendeur n’assume aucune responsabilité à l’égard de cette défaillance.

Article 11. DUREE - RESILIATION

La Société s’engage à conserver les Archives pendant toute la durée précisée par le Revendeur agréé.
Sauf disposition contraire, la durée de conservation des Archives, telle qu’elle est proposée par le Revendeur agréé, est égale à 10 ans par Archive. La Société s’engage expressément à respecter cette durée de conservation, indépendamment de toute modification apportée aux relations contractuelles entre les Parties.

Le Client pourra, à sa demande, après la durée du Service, utiliser un service de consultation via le portail MyArkhineo, pour lequel il disposera de 2 (deux) accès pour ses Administrateurs Autorisés. Il sera possible d’augmenter le nombre d’accès sur la base d’un devis préalablement établi par la Société.

En cas de manquement grave par l’une des Parties aux obligations en vertu du présent Contrat, qui n’est pas corrigé dans un délai de 30 (trente) jours civils à compter de la réception du courrier recommandé avec accusé de réception notifiant le manquement en question, l’autre Partie sera en droit de résilier le présent Contrat, en intégralité ou en partie.

Quelles que soient les circonstances de résiliation du Contrat, les Services fournis par la Société au Client à la date effective de résiliation ne peuvent être remis en cause. Par ailleurs, les sommes correspondantes déjà facturées ne seront pas remboursables et seront dues à la Société.

Article 13. PROTECTION DES DONNEES A CARACTERE PERSONNEL

Il est convenu que le Revendeur (Sous-traitant) fera uniquement appel à un sous-traitant présentant des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles appropriées afin de s’assurer de sa conformité aux lois applicables en matière de protection des données.

Le Sous-traitant devra conclure un accord écrit (DPA) avec la Société, en vertu duquel il s’engage à respecter l’ensemble des lois et obligations relatives à la protection des données.

13.1 Notification :

En cas de violation de la protection des données, telle que définie par le RGPD, la Société devra notifier le Revendeur dans un délai de 72 heures après avoir eu connaissance de la violation. Sur demande, la Société devra fournir au Revendeur un plan de protection des données et de sécurité complet et à jour pour le traitement.

La notification devra être adressée par e-mail à security(at)docusign.com et devra contenir les informations nécessaires au signalement aux autorités de contrôle.

13.2 Audit spécifique :

À la demande du Revendeur, la Société informera le Client, Responsable du Traitement, des mesures qu’elle a mises en place afin de garantir la conformité aux obligations découlant des lois en matière de protection des données.

Le Revendeur se réserve le droit d’auditer ou de superviser la Société, directement ou par l’intermédiaire d’un tiers, aux frais du Revendeur, afin de s’assurer de la conformité de la Société aux lois et obligations relatives à la protection des données, au titre du présent article.

13.3 Dispositions spécifiques :

La Société, en sa qualité de Sous-traitant, s’engage à :

  • prendre toutes les mesures techniques et organisationnelles nécessaires, conformément à toute instruction documentée que le Client, en sa qualité de responsable du traitement, lui demande de suivre par notification expresse ;
  • ne pas utiliser les données à caractère personnel à d’autres fins que celles justifiant la conclusion des présentes CG ;
  • ne pas nommer un autre sous-traitant ultérieur qui ne fournirait pas des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées, et qui n’a pas été préalablement habilité par écrit, de manière générale ou spécifique, par le responsable du traitement ;
  • ne pas divulguer les données à caractère personnel, sous quelque forme ou par quelque moyen que ce soit, aux membres du personnel qui ne sont pas expressément autorisés à les consulter par la Société ou le responsable du traitement lui-même, en vertu des présentes CG, voire en vertu des lois et règlements en vigueur ;
  • prendre les mesures de sécurité de pointe, à savoir – au besoin – la pseudonymisation ou le chiffrement des données à caractère personnel, ainsi que tout mécanisme garantissant la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement, de manière à empêcher l’utilisation frauduleuse des données et à préserver leur intégrité ;
  • veiller à ce que tous ses employés susceptibles d’avoir accès aux données à caractère personnel traitées respectent les exigences en matière de sécurité et de confidentialité desdites données à caractère personnel, ces employés étant uniquement des personnes autorisées, et, le cas échéant, que ses sous-traitants ultérieurs susceptibles d’avoir accès aux données à caractère personnel respectent ces mêmes exigences ;
  • le cas échéant, à la demande expresse du responsable du traitement et sur la base des taux en vigueur, faciliter l’exercice par les personnes concernées – sous sa propre direction – de leurs droits d’accéder à leurs données à caractère personnel, et de les rectifier ou les effacer ainsi que, dans ce contexte, documenter les réclamations établies par le responsable du traitement à cet égard sur le système de gestion ;
  • ne pas transférer, ni autoriser l’un de ses sous-traitants ultérieurs à transférer, les données à caractère personnel hors de l’Union européenne sans avoir obtenu au préalable l’autorisation écrite du Client ;
  • à l’expiration ou la résiliation du présent Contrat, détruire/restituer les données à caractère personnel qui pourraient encore être conservées ou archivées par le sous-traitant ultérieur, sauf pendant la période où l’archivage ou la conservation sont requis par les lois ou règlements en vigueur, en vertu des conditions suivantes. Le Client reconnaît que le prix des services mentionnés dans le présent Contrat, tel qu’il figure dans le présent Contrat, n’inclut pas le prix et les coûts relatifs à la restitution des données à caractère personnel ;
  • veiller à ce que toutes ces exigences soient respectées par tout autre sous-traitant ultérieur, indépendamment de son rang ou des méthodes qu’il utilise pour travailler sur les services (y compris pour entreprendre la maintenance), que le sous-traitant ultérieur est susceptible d’engager, en imposant à ce dernier, y compris par voie contractuelle, de prévoir expressément à son tour ces mêmes obligations dans le contrat le liant au sous-traitant ultérieur en question, ce dernier s’engageant en tout état de cause à respecter les obligations.

Dans la mesure où le Client est pleinement responsable du respect des obligations prévues par la législation ou la réglementation nationale ou européenne en matière de protection des données à caractère personnel, il s’engage à se conformer à l’ensemble des dispositions légales et réglementaires applicables. Le Client reconnaît et accepte (compte tenu de l’état actuel des connaissances, des coûts de mise en œuvre, du contexte et des finalités du traitement de données à caractère personnel) que les pratiques et stratégies de sécurité mises en œuvre par la Société garantissent un niveau de sécurité adapté au risque pour les personnes.

Article 14. CONFORMITE A LA LEGISLATION APPLICABLE EN MATIERE DE LUTTE ANTI-CORRUPTION

La Société s’engage à respecter les lois anti-corruption en vigueur dans les pays (U.E) dans lesquelles elle opère.

La Société a mis en place un Code de conduite qui établit des lignes directrices claires pour tous les collaborateurs concernant les comportements attendus dans l’exercice de leurs fonctions.

Le respect du Code de conduite est assuré par des politiques et procédures internes.

Ces politiques, procédures et formations correspondantes aideront les collaborateurs à s’acquitter de leurs rôles et responsabilités en ce qui concerne la conduite à tenir.

La Société fournira au Revendeur, sur demande, un document écrit justifiant du fait que les salariés ont suivi une formation en matière de lutte contre la corruption.

La Société s’engage à veiller au respect des mesures d’embargo émises principalement par la France, l’Union européenne, les États-Unis et les Nations Unies dans le cadre de ses activités.

S’agissant de la lutte contre les activités criminelles et terroristes, la Société s’engage à se conformer aux lois applicables et à promouvoir une culture solide d’éthique et de conformité.

La Société encourage un comportement basé sur les meilleures pratiques concernant la responsabilité societale et environnementale.

Article 15. AUDIT

La Société s’engage à faire procéder à un audit annuel, à ses propres frais, par ses auditeurs internes ou par une autorité de certification reconnue. Cet audit couvre tous les services fournis au Client au titre du Service ADE, et notamment les éléments permettant de conserver la certification NF 461.

Si cet audit révèle des divergences avec les normes de certification, la Société prendra les mesures correctives nécessaires, à ses propres frais.

Article 16. DROIT APPLICABLE

Le Contrat est régi par le droit français, en termes d’exigences concernant à la fois sa validité formelle et son contenu. Tout litige concernant la validité, l’interprétation et l’exécution des CG sera expressément soumis au tribunal compétent de Paris, y compris lorsque plusieurs défendeurs ou tiers sont impliqués, meme lors de procedures preliminaires menees sommairement ou ex parte.

En raison de la confidentialité associée à l’Archivage et de l’impossibilité dans laquelle se trouve la Société de procéder à des vérifications sur le contenu des Documents reçus, le Client déclare expressément à la Société que toutes ses Archives seront conformes à la législation et aux règlements applicables sur le territoire national ou européen, et qu’il a pris toute mesure destinée à protéger la vie privée des personnes. En conséquence, le Client garantit la Société contre toute responsabilité relative au contenu et toute utilisation des Archives.

En outre, il est prévu que la Société répondra, dans le cadre de la législation applicable, à toute demande ou requête émanant de l’autorité judiciaire ou administrative compétente.

Article 17. DISPOSITIONS GENERALES

  • Si l’une des dispositions des présentes est jugée invalide ou déclarée comme telle par un jugement définitif rendu par un tribunal compétent, les autres dispositions resteront pleinement en vigueur.
  • Le fait pour l’une des Parties de ne pas se prévaloir d’un manquement de l’autre Partie à l’une des obligations stipulées dans les présentes ne saurait être interprété ultérieurement comme une renonciation à exiger le respect de l’obligation qui a été enfreinte.
  • Le Client accepte que la Société puisse utiliser sa dénomination sociale, ou l’une de ses marques et enseignes, dans le cadre d’une référence commerciale vis-à-vis des tiers.
  • La Société peut sous-traiter l’intégralité ou une partie de ses obligations envers des tiers, à condition, néanmoins, sauf en cas d’urgence ou de force majeure, d’avoir préalablement et expressément obtenu du Client l’acceptation de chaque sous-traitant, et que la Société reste seule responsable, à l’égard du Client, de la bonne exécution des présentes.

À titre exceptionnel, il est déjà précisé que, pour des raisons de sécurité physique et informatique, le centre d’archivage physique utilisé aux fins du Service se trouve au sein des infrastructures informatiques de la Caisse des Dépôts et Consignations.

Il est convenu que la Société peut librement céder l’intégralité ou une partie de ses obligations à une entité affiliée de la Caisse des Dépôts, au sens de l’Article L 233-3 du Code de commerce. Le Client ne peut transférer l’ensemble ou une partie de ses droits et obligations, sans avoir obtenu au préalable l’accord écrit de la Société. En cas d’hébergement de Données de santé à caractère personnel, la Société s’engage à ce que le cessionnaire soit titulaire de l’agrément « Hébergeur de données de santé ».

  • Aucune action découlant des présentes, sous quelque forme que ce soit, ne peut être engagée par une Partie plus de six (6) mois après que cette Partie a eu connaissance de l’événement déclencheur justifiant cette action.
  • Le Client et la Société conviennent que l’utilisation du moyen d’authentification propre à chaque Utilisateur Autorisé est un moyen d’authentification valable et contraignant. Le Client reconnaît notamment que la Société a des raisons légitimes de considérer tout Téléchargement comme provenant d’un Utilisateur Autorisé et ayant la valeur d’un document, au sens des articles 1366 et suivants du Code civil.