Confidentialité

Politique de confidentialité

IARA reconnait l’importance du respect à la vie privée et des réglementations relatives à la protection des données personnelles (loi du 6 janvier 1978 « Informatique et Libertés » et règlement 2016/679 relatif à la protection des personnes physiques et à l’égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données). Compte tenu du fonctionnement des outils et services de IARA, les Parties ont déterminé que IARA agit en qualité de sous-traitant pour ce qui concerne les traitements des données personnelles induites par les Services, et le Client en qualité de responsable de traitement. Les Parties déclarent avoir pris en compte l’ensemble des éléments factuels et la réglementation applicable (telle que notamment interprétée par l’avis 1/2010 du Groupe de l’Article 29 du 16 février 2010) pour déterminer le positionnement de chacun. A ce titre et au titre du Contrat entre les Parties, le Client et IARA ont, au titre de la réglementation en vigueur ou à venir, les droits et obligations visées ci-après.

Les Parties, après discussion, reconnaissent que :

Les finalités des traitements sont :
- La contractualisation et l’exécution du présent contrat ;
- L’amélioration des produits (y compris constitution de produits prédictifs) et personnels de IARA ;
- L’échange de données avec des partenaires de IARA
Les données sont conservées au sein de l’Union européenne.

1.1. Obligations de IARA

Les obligations de IARA comprennent uniquement ce qui suit. IARA garantit ainsi le Client contre toute revendication ou action de tiers à au titre de ses obligations et s'engage à prendre à sa charge, au fil de l'eau, toutes les dépenses, condamnations, frais, honoraires d'avocat que le Client pourrait supporter du fait de ces procédures.

Tenue d’un registre des traitements

A compter du 25 mai 2018, IARA s’engage, en tant que sous-traitant, à créer, entretenir et conserver à jour un registre des traitements comprenant l’ensemble des indications obligatoires au titre du Règlement 2016/679.

Tenue d’un registre des instructions du Client

IARA s’engage à conserver une trace écrite des instructions spécifiques du Client pour eu égard aux données personnelles et ce, dans un format ouvert. Par exception à ce qui précède, les opérations et traitements induits par l’exécution des présentes sont considérés comme constituant des instructions du Client.

Si IARA considère, en l’état de sa connaissance profane, qu’une instruction est contraire au Règlement 2016/679, elle en avertira sans délai le Client.

De manière générale, IARA n’utilisera les données personnelles que dans le cadre des présentes ou sur instruction précise du Client.

Recours à la sous-traitance

De manière générale, IARA peut recourir à toute sous-traitance pour les aspects de la relation contractuelle n’impliquant pas de données personnelles. En revanche, en cas de recours à un sous-traitant pour un traitement de données personnelles relatif à l’exécution des présentes, IARA avertira le Client qui ne pourra pas refuser son accord, sauf juste motif. Tout silence du Client de plus de 15 jours vaudra acceptation tacite.

A ce titre, IARA reste responsable de l’exécution, par son propre sous-traitant, de ses obligations contractuels.

Accountability

A compter du 25 mai 2018, IARA aura mis en place les procédures internes permettant la démonstration du respect de la réglementation en tant que sous-traitant. A ce titre et de manière raisonnable, IARA accepte que le Client puisse, moyennant un préavis écrit de 15 jours, envoyer des questions précises et demandes de documentation à IARA. Ces questions seront limitées au respect de la réglementation en vigueur dans le cadre de l’exécution des présentes. IARA devra répondre dans un délai raisonnable qui ne saurait être inférieur à 1 mois. Par exception à ce qui précède, IARA sera tenu de répondre dans les délais imposés par les autorités en cas de contrôle ou demande de la CNIL (ou autorité assimilée).

IARA s’engage à coopérer avec le Client en cas de procédure de contrôle ou demande de documentation de la CNIL (ou autorité assimilée).

Privacy by design

A compter du 25 mai 2018, IARA aura mis en place les procédures internes permettant la démonstration du respect du principe de prise en compte des principes de protection des données dès la conception et de protection des données par défaut.

Sécurité

IARA déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :

garantir à la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des données personnelles et ce, conformément à l’état de l’art et aux présentes ;
rétablir, le cas échéant, la disponibilité des données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.

Les personnels de IARA traitant les données personnelles respectent la confidentialité des données.

De plus et à compter du 25 mai 2018, IARA aura mis en place une procédure annuelle de test, d’analyse et d’évaluation des mesures techniques et organisationnelles de sécurité existantes.

Conservation des données personnelles fournies par le Client à IARA

IARA conserve les données personnelles fournies dans le cadre des présentes au sein de l’Union européenne.

IARA conservera les données personnelles fournies par le Client conformément aux délais de conservation déterminés par celui-ci. Le Client reconnait qu’à défaut d’instruction écrite, IARA ne conserve les données conservées que pour les besoins des finalités listées ci-avant. Le Client assume toutes les conséquences de ce délai en cas de défaut d’instruction écrite. A l’issue de ce délai, IARA détruit les données concernées.

Procédure en cas de violation de sécurité

Quoique IARA soit soumis à une obligation de moyens en matière de sécurité informatique, IARA s’engage, en cas de violation de sécurité (1) à alerter dès que possible le Client et lui fournissant les informations nécessaires mais raisonnables (et dans la limite des obligations de confidentialité de IARA), (2) assister le Client et, le cas échéant, la CNIL ou toute autorité publique dans ce cadre et (3) participer, de manière raisonnable, à la mise en place de correctifs.

A ce titre, IARA conservera un livre d’historisation des incidents de sécurité.

Assistance du Client dans le cadre de la mise en œuvre de droits visés au règlement européen 2016/679

IARA s’engage à assister le Client quant à toute demande écrite et précise relative à l’exercice d’un droit ou d’une obligation visée par le règlement européen 2016/679, et notamment :

la mise en œuvre des droits des personnes concernées (par exemple, droit à la portabilité, droit d’accès et de rectification) ;
la participation à une étude d’impact sur la vie privée.

Les Parties reconnaissent que si cette assistance devait dépasser plus d’une heure par semaine, alors IARA serait légitime à facturer le Client pour les dépassements de temps sur la base du taux horaire applicable au jour de la demande du Client.

Data Protection Officer

Afin de démontrer sa pleine implication dans le respect du règlement européen 2016/679, IARA a décidé de mettre en place un Data Protection Officer à compter du 25 mai 2018. Il aura mission d’accompagner IARA dans toutes les démarches, questions et procédures prévues par le règlement.

1.2. Obligations du Client

En tant que responsable de traitement, le Client a des obligations propres, dont les principales sont les suivantes.

Déclarations à la CNIL

Le Client déclare et garantit avoir procédé à l’ensemble des déclarations et demandes d’autorisation nécessaires à la collecte, le traitement, les transferts et conservation des données personnelles utilisées ou nécessaires à l’exécution des présentes. Les Parties reconnaissent qu’au 25 mai 2018 il ne sera plus nécessaire de procéder à de telles déclarations.

Tenue d’un registre des traitements

Si le Client a mis en place un Correspondant Informatique et Libertés, il garantit avoir créé, entretenu et conservé à jour un registre des traitements comprenant l’ensemble des indications obligatoires. En toutes hypothèses, à compter du 25 mai 2018, le Client s’engage à créer, entretenir et conserver à jour un registre des traitements comprenant l’ensemble des indications obligatoires au titre du Règlement 2016/679.

Informations des personnes concernées

Le Client déclare et garantit avoir informé les personnes concernées de l’ensemble de leurs droits et des mentions obligatoires telles que visées par la réglementation applicable et d’avoir recueilli, le cas échéant, le consentement conformément à la réglementation applicable. Dans l’hypothèse où le Contrat devait s’appliquer au-delà du 25 mai 2018, le Client s’engage à fournir les informations et recueillir le consentement des personnes conformément au règlement 2016/679 et, le cas échéant, à re-fournir et/ou recueillir à nouveau leur consentement, conformément à ce règlement.

Le Client rédigera et fera figurer des Conditions Générales conformes à la loi, aux présentes et à la réglementation notamment relative à la protection des données personnelles. A ce titre, le Client mettra à jour ses Conditions Générales pour répercuter toute modification des fonctionnalités des produits et services de IARA et/ou des Conditions Générales de IARA.

Accountability

A compter du 25 mai 2018, le Client aura mis en place les procédures internes permettant la démonstration du respect de la réglementation en tant que responsable de traitement.

Privacy by design

A compter du 25 mai 2018, le Client aura mis en place les procédures internes permettant la démonstration du respect du principe de prise en compte des principes de protection des données dès la conception et protection des données par défaut.

Sécurité

Le Client déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :

garantir à la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des données personnelles et ce, conformément à l’état de l’art et aux présentes ;
rétablir, le cas échéant, la disponibilité des données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.

Les personnels du Client traitant les données personnelles respectent la confidentialité des données.

De plus et à compter du 25 mai 2018, le Client aura mis en place une procédure annuelle de test, d’analyse et d’évaluation des mesures techniques et organisationnelles de sécurité mises en place.

Délais de conservation des données personnelles

En tant que responsable de traitement, le Client s’engage et garantit déterminer, pour chaque type de données et chaque finalité, une durée de conservation conforme à la réglementation en vigueur. Le Client s’engage à communiquer à IARA ces délais de conservation par écrit et sans délai.

Data Protection Officer

Le Client a décidé de mettre en place un Data Protection Officer à compter du 25 mai 2018. Il sera le point de contact de IARA pour toutes les questions relatives à la réglementation sur la protection des données personnelles.

10. RAPPORTS

Les rapports sont pour l’usage interne du Client uniquement. Le Client ne peut pas vendre, louer, divulguer ou rendre public les rapports sans la permission de IARA.

2. OBLIGATIONS DU CLIENT

Sans préjudice des autres obligations au titre des présentes, le Client :

s’engage, dans le cadre de l’utilisation des Services, à respecter toutes les lois et réglementations applicables, les Guidelines des plateformes concernées (Google, etc…) et de ne pas violer l’ordre public ou les droits de tiers. Le Client est seul responsable du respect des formalités nécessaires administratives, fiscales et/ou sociales en relation avec son utilisation des Services. IARA ne saurait en aucun cas être responsable à ce titre ;
reconnaît avoir lu et compris les caractéristiques et limitations des Services et notamment leur portée. Le Client est seul responsable de son utilisation ;
s’engage à utiliser les Services à titre personnel. Il ne peut pas transférer, sous-licencier, déléguer ou céder tout ou partie de leurs droits visés aux présentes à un tiers ;
s’engage à utiliser raisonnablement les Services. Le Client fournira des informations et données justes, correctes et adéquates., IARA se réserve la faculté de refuser ou annuler toute commande émise par le Client, en contravention avec les lois et réglementations applicables, que la commande ait été confirmée ou non.

3. INTERDICTIONS

Le Client n’est pas autorisé (et s’interdit d’encourager des tiers) à utiliser les services pour :

tout acte, déclaration ou omission ayant pour cause ou conséquence la violation de la loi et/ou réglementation applicable et/ou des présentes et/ou des guidelines / conditions générales des plateformes concernées telles que Google ;
entraver ou perturber les Services, les serveurs ou les réseaux connectés aux Services, ou limiter les exigences, procédures ou règlements des réseaux connectés aux Services ;
vendre ou concéder tout ou partie de l'un de l'accès aux Services ou aux informations hébergées et / ou partagées sur le Site.

Le Client prendra à sa charge, au fil de l’eau, l'ensemble des sommes, frais, honoraires d'avocat et dépens qui pourraient être encourus ou auxquels pourrait être condamnée IARA au titre de toute action, procédure ou demande en relation avec (i) une violation des présentes ou de la Politique de protection des données personnelles, (ii) l’utilisation des Services par le Client et/ou (iii) l’utilisation non autorisée des Services.

4. SANCTIONS

En cas de violation par un Client de tout ou partie des présentes ou d’une loi ou règlement, IARA se réserve la faculté, sans préjudice de ses autres droits, de prendre, moyennant une mise en demeure écrite et préalable (sauf faute estimée grave par IARA), toute mesure qu’elle estimera appropriée et notamment :

la suspension immédiate de l’accès aux Services pour le Client qui a violé les présentes ou la loi ou qui a participé à une telle violation ;
l’information des autorités compétentes ; et/ou
toute procédure judiciaire.

La suppression des contenus hébergés ne pourra être effectuée qu’avec la mise en œuvre d’une phase concomitante de réversibilité.

5. RESPONSABILITE

IARA fournit les Services avec soin et conformément aux pratiques de marché dans le cadre d’une obligation de moyens, ce que le Client reconnait et accepte. IARA ne garantit aucun résultat de campagne, aucun seuil, objectif ou recrutements. Les Services sont fournis « tel quel », toute autre garantie légale ou contractuelle étant expressément exclue.

IARA ne fournit que les Services visés à l’article 6. IARA rappelle qu’elle n’a aucun contrôle ou propriété sur le contenu hébergé dans le cadre des Services. Ainsi, IARA ne saurait être responsable de tout contenu dans la mesure où IARA intervient uniquement en tant qu’hébergeur. Le Client reconnait et accepte que IARA peut supprimer des Services tout contenu illicite / illégal que IARA pourrait avoir à connaitre, notamment en cas de réclamation d’un tiers ou sur décision judiciaire. IARA s’efforcera d’alerter préalablement à toute suppression le Client, étant toutefois précisé qu’en cas de procédure judiciaire et/ou administrative, il peut arriver que les autorités / les tiers demandent une suppression sans alerte de qui que ce soit, y inclus le Client.

IARA prend toutes les mesures appropriées pour préserver la sécurité et la confidentialité des contenus hébergés, et empêcher tout accès non autorisé à de tels contenus.

IARA garantit le Client qu’il pourra jouir paisiblement des Services pendant la durée des présentes sous réserve du respect, par celui-ci, des présentes et de la loi. A ce titre, IARA prendra à sa charge l'ensemble des sommes, frais et dépens auxquels le Client aura été définitivement condamnés au titre de toute action, procédure ou demande basée sur une violation d’un droit de propriété industrielle européen ou un acte de concurrence déloyale, en relation avec (i) une violation des présentes ou (ii) la propriété et/ou l’utilisation des Services par le Client, sous réserve (a) que le Client ait alerté sans délai IARA d’une telle action, (b) que le Client coopère pleinement et apporte toutes les informations à IARA et (c) que IARA ait le monopole de l’argumentation devant toute juridiction par tout moyen approprié. IARA ne garantit pas au Client (i) que les Services, qui sont sujets à recherche permanente d’amélioration des performances dans le cadre d’une démarche qualité, sont sans erreurs, fautes ou bugs, (ii) que les Services standards ou spécifiques au Client, sont conformes à leurs besoin ou attentes.

La responsabilité encourue l’une ou l’autre des Parties dans le cadre des présentes est expressément et uniquement limitée aux dommages directs et effectifs subis par l’autre Parties (les dommages indirects tel que préjudice commercial ou financier, perte de clientèle, perte de bénéfice, perte de commande, perte de donnée, trouble commercial quelconque, ainsi que de toute action émanant de tiers et dont il ne sera pas démontré qu'elles sont imputables à IARA étant donc exclus) et ne saurait, toutes fautes et dommages confondus, excéder le montant total facturé dans l’année précédant le fait générateur.

6. PROPRIETE INTELLECTUELLE

Les Services ainsi que tous les outils en relation avec les Services sont la propriété de IARA. Le Client a uniquement une licence personnelle, non cessible et non exclusive d’utiliser les Services uniquement pour accéder à l’Application et à la plateforme de IARA dans les limites et conditions des présentes, pour la seule durée des présentes. Tous autres droits sur le logiciel, les Services sont réservés. IARA se réserve expressément la correction des aspects logiciel des Services le cas échéant. IARA respecte la propriété intellectuelle des tiers. Si un Client ou un tiers pense qu’un droit de propriété intellectuelle d’un élément a été enfreint, merci de nous contacter à contact@horus-bim.com.

7. REVERSIBILITE

IARA s’engage à faciliter la réversibilité / transférabilité dans les meilleures conditions. La réversibilité correspond à l’ensemble des actions et dispositions que IARA devra prendre pour transférer les données nécessaires vers le repreneur ou le Client, à échéance ou à la résiliation anticipée du contrat pour quelque cause que ce soit.

Durant cette phase, IARA reste responsable des tâches opérationnelles de maintenance, et met tous les moyens en œuvre pour assurer une continuité de service et limiter la durée de l’opération de réversibilité, quelque soit la raison de la cession des relations contractuelles.

Le Client notifie à IARA par lettre recommandée avec accusé de réception sa décision de mettre en œuvre la réversibilité ainsi que le nom du repreneur et la date souhaitée de lancement de la réversibilité. Cette notification est effectuée au moins un mois avant la date de lancement de la réversibilité. IARA confirme alors la date ou en propose une autre.

A l’issue de la phase de réversibilité un PV de recette sera signé entre les parties. A la validation de la réversibilité IARA informera par courrier le client de la suppression des données clients sur toute forme de support.

Mentions légales