Condition Générales de signature

L’utilisation du Service de Signature Electronique, proposé par le Prestataire, implique l’acceptation des présentes. Toute stipulation contraire, non constatée par un écrit accepté par le Prestataire, est réputée non-écrite. Les conditions générales d’achat du Client sont non-opposables au Prestataire, même si celles-ci sont adossées à un devis ou un bon de commande émis par le Client et portant sur le Service de Signature Electronique proposé par le Prestataire.

Article 1. Définitions

Client : Personne morale ou personne physique agissant en qualité de professionnel et souhaitant utiliser le Service de Signature Electronique pour informer, valider, signer ou faire signer des Documents électroniquement.

Authentification : Processus qui vise à vérifier l’identité prétendue du Signataire.

Autorité de Certification (AC) : Autorité qui délivre des Certificats Electroniques.

Autorité de Certification Tierce (AC Tierce) : Autorité de Certification délivrant des Certificats Electroniques mais n’agissant pas sous le contrôle et la responsabilité du Prestataire.

Carnet d’adresse : Liste de Signataires, associée au compte client et incluant les données d’identification (nom, prénom, adresse e-mail, numéro de téléphone mobile, …).

Certificat Electronique : attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom de cette personne.

Certificat Electronique sur Support Cryptographique : Certificat Electronique sur support cryptographique physique détenu par le Signataire, délivré par une Autorité de Certification tierce au Contrat et permettant la réalisation de Signatures Electroniques.

Document(s) : Document électronique (contrat, avenant, bulletin de souscription, etc.), destiné à être validé ou signé via un procédé de Signature Electronique.

Données à Caractère Personnel : désigne toute information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Dossier de preuve : dossier compressé et scellé, généré par le Service de Signature Electronique, et regroupant les éléments factuels permettant de reconstituer le processus de signature électronique (contrats, annexes, journal d’événements, etc.). Il contient également le document lisible récapitulant les informations et événements de la transaction, appelé « Fichier de preuve ».

eIDAS (Règlement Européen) : RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive.

Jours : Lorsqu’un délai est fixé en jours sans précision, il s’entend en jours calendaires et il expire à la fin du dernier jour de la durée prévue. Tout délai commence à courir le lendemain du jour où s’est produit le fait qui sert de point de départ du délai.

Mois : Sauf dispositions contraires, lorsque le délai est fixé en mois, il est compté de quantième en quantième. S’il n’existe pas de quantième correspondant dans le mois où se termine le délai, celui-ci expire à la fin du dernier jour de ce mois. Lorsque le dernier jour d’un délai est un samedi, un dimanche ou un jour férié ou chômé, le délai est prolongé jusqu’à la fin du premier jour ouvrable qui suit.

One Time Password (OTP) : mot de passe à usage unique.

Responsable du Traitement : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement.

Service de Signature Electronique : désigne le service mis à disposition du Client par le Prestataire, permettant d’informer, de valider et de signer des documents, au moyen d’une Signature Electronique associée à un Certificat Electronique.

Signataire : Personne physique qui signe ou qui a signé un Document via le Service de Signature Electronique, dont les données d’identification (nom, prénom, adresse e-mail, numéro de téléphone mobile, …) auront été enregistrées dans le Carnet d’adresse associé au compte Client.

Signature Electronique : Ensemble des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le Signataire utilise pour signer.

Signature Electronique sans Vérification d’Identité : Signature électronique réalisée sans que l’identité du Signataire n’ait été vérifiée dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. Dans le cadre de l’utilisation d’une Signature Electronique sans Vérification d’Identité, l’Authentification du Signataire est réalisée par le Client sous sa responsabilité. La Signature Electronique sans Vérification d’Identité, telle qu’implémentée dans la Plateforme de Signature Electronique du Prestataire, est basée sur un Cachet Electronique Qualifié, et une Authentification à double facteur de type OTP (optionnelle). La vérification de l’identité des Signataires se fait sous la responsabilité du Client.

Signature Avancée avec Vérification d’Identité : signature électronique réalisée dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. L’identité du signataire a été vérifiée préalablement à distance par un prestataire de vérification d’identité à distance, partenaire du Prestataire, conformément à sa politique de vérification d’identité. La Signature Avancée convient à la majorité des usages qui ne nécessitent pas une Signature Qualifiée.

Signature Qualifiée : signature électronique réalisée dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. L’identité du signataire a été vérifiée préalablement lors d’un face-à-face en respectant les procédures imposées par l’Autorité de Certification. La Signature Qualifiée est présumée fiable et convient à des cas d’usages ayant besoin d’une force probatoire forte, tels que la signature d’actes authentiques. Un jeton d’horodatage qualifié est utilisé pour sceller le document signé.

Cachet Electronique Qualifié : cachet électronique de personne morale réalisé dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. L’authentification de la personne morale apposant le cachet a été réalisée préalablement en respectant les procédures imposées par le Prestataire.

Sous-Traitant : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données à Caractère Personnel pour le compte du Responsable du Traitement.

Traitement : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à Caractère Personnel ou des ensembles de Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Article 2. Objet du service

Les présentes conditions générales d’utilisation ont pour objet de définir les conditions d’utilisation par le Client et les modalités de mise à disposition par le Prestataire du Service de Signature Electronique.

Le Prestataire met à disposition du Client un dispositif, objet des présentes conditions générales d’utilisation, permettant d’informer, de valider et de contractualiser par voie électronique, au moyen d’une Signature Electronique associée à un Certificat Electronique émis pour la signature d’un/plusieurs Documents.

Article 3. Description du Service de Signature Electronique

Le Service de Signature Electronique permet au Client :

D’éditer et de générer des Documents à partir de modèles combinés avec des règles et des données métier ;
D’envoyer ou de présenter au(x) Signataire(s) les Documents pour visa ou signature ;
De signer et faire signer, au sens du Règlement Européen eIDAS, des Documents par voie électronique ;
De consulter les Documents signés ;
d’injecter dans les Documents des données métier provenant d’autres systèmes, saisies par les utilisateurs ou saisies par les Signataires, et d’exploiter ces données manuellement ou automatiquement ;
De collecter auprès des Signataires des documents ou des informations liés aux Documents ;
De programmer des campagnes de signature pour faire signer un grand nombre de Documents à des Signataires différents automatiquement ;
De connecter d’autres systèmes d’information en amont ou en aval des opérations pour déclencher des transactions ou pour en récupérer le résultat ;

Le Service de Signature Electronique permet de réaliser selon des options souscrites par le Client :

Des Signatures Electroniques sans Vérification d’Identité : la vérification de l’identité des Signataires relève de la responsabilité exclusive du Client
Des Signatures Avancées avec Vérification d’Identité : une vérification automatisée par un prestataire de vérification d’identité à distance permet d’évaluer le niveau de fiabilité de l’identité de chaque signataire, sans toutefois en garantir l’authenticité.
Des Signatures Qualifiées : pour réaliser la signature, chaque signataire doit disposer d’un Certificat Electronique sur Support Cryptographique qualifié au sens du Règlement « eIDAS » n°910/2014 du 23 juillet 2014 et délivré par une Autorité de Certification. La vérification de l’identité des signataires relève de la responsabilité exclusive de l’Autorité de Certification ayant délivré les Certificats Electroniques.

Article 4. Acceptation et modification des présentes

Le Client doit obligatoirement accepter expressément et sans réserve les présentes Conditions Générales d’Utilisation du Service de Signature Electronique (CGU) préalablement à l’utilisation de ce dernier. Dans le cas où le Client ne souhaiterait pas accepter les présentes CGU, il devra s’abstenir d’accéder au Service de Signature Electronique.

Le Prestataire se réserve le droit de modifier les termes, conditions et mentions des présentes CGU, afin d’en assurer la conformité avec le Règlement « eIDAS » n°910/2014 du 23 juillet 2014.

Article 5. Prérequis et mise à disposition du Service de Signature Electronique

Le service concerne la signature électronique de documents en face à face (applications mobiles), en ligne sur le web ou à distance en mode web, selon la commande du client, ainsi que l’accès au tableau de bord administratif des contrats signés et au portail collaboratif associé.

Afin de pouvoir accéder au Service de Signature Electronique, le Client et le Signataire doivent disposer :

d’un terminal (PC, téléphone mobile, tablette, …)
- leur permettant d’accéder à internet,
- leur permettant de recevoir un OTP envoyé par SMS, email, …
d’un navigateur,
d’un accès au réseau internet.
pour réaliser des Signatures Qualifiées : d’un Certificat Electronique sur Support Cryptographique. Le certificat et le support cryptographique devront être Qualifiés au sens du Règlement « eIDAS » n°910/2014 du 23 juillet 2014 et l’Autorité de Certification délivrant le Certificat Electronique devra être acceptée par le Prestataire préalablement à toute utilisation. La liste des Autorités de Certification acceptées par le Service de Signature Electronique est disponible sur simple demande.

Article 6. Mise à disposition et accès au Service de Signature Electronique

La documentation d’utilisation relative aux applications informatiques est disponible, notamment, en ligne.

Le Prestataire réalisera les prestations d’assistance au démarrage décrites dans le bon de commande, notamment le paramétrage des fonctionnalités des applications informatiques hébergées. Dès signature des présentes et sous réserve des paiements correspondant aux services choisis, le Prestataire fournira au client un identifiant lui permettant d’accéder aux services depuis le portail. A sa première utilisation, chaque utilisateur recevra un courriel de la part du Prestataire afin de valider son adresse courriel. Il pourra alors choisir un mot de passe. L’utilisation des services SaaS vaut recette desdits services. L’identification du Client ou d’un utilisateur au moyen de l’identifiant qui lui a été adressé ou de son adresse courriel, et du mot de passe qu’il aura choisi, vaut de manière irréfragable imputabilité au client des opérations effectuées au moyen de ce mot de passe et de cet identifiant. Le Prestataire affecte au Client un quota d’espace disque, dédié à l’hébergement du contenu hébergé. Le volume de cet espace disque est défini dans le bon de commande, ou à défaut est de 5 Giga-octets pour l’ensemble des licences figurant sur une même facture. Le Client peut commander de l’espace de stockage supplémentaire. Toute consommation d’espace au-delà du quota pourra être facturée de plein droit aux tarifs en vigueur. Sur commande du Client, le Prestataire pourra réaliser les prestations de formation des utilisateurs. L’ensemble des frais et honoraires seront facturés au Client sur la base du catalogue annuel des prestations du Prestataire au jour de la demande. Si le Client commande la prestation correspondante (base de données dédiée encryptée), le Prestataire s’engage à chiffrer les données et les documents.

L’identification et le mot de passe du Client et de tous ses utilisateurs sont confidentiels, uniques et personnels. Le Client est seul responsable de leur utilisation.

Le Client s’engage à ce que chaque utilisateur garde secret le mot de passe qu’il aura choisi. Le Prestataire autorise une seule connexion à la fois par identifiant et mot de passe. Les identifiants de connexion (login et mot de passe) fournis pour l’accès à la solution de signature électronique sont strictement personnels, individuels et non transférables. Toute utilisation partagée ou mise à disposition des identifiants par plusieurs utilisateurs, sans autorisation préalable écrite du Prestataire, est strictement interdite et pourra entraîner la suspension ou la résiliation des Services, sans préjudice des dommages et intérêts que le Prestataire pourrait réclamer.

En cas de perte ou de vol de son mot de passe, le Client ou l’Utilisateur s’engage à modifier le mot de passe en utilisant la fonctionnalité du service prévue à cet effet.

Le Prestataire s’engage à rendre accessible 7 jours sur 7 et 24 heures sur 24 les applications informatiques distantes. Le Prestataire se réserve toutefois le droit de restreindre, totalement ou partiellement, l’accès aux services afin d’assurer la maintenance, dans le cadre de prestations programmées, de sa configuration informatique et des infrastructures mises en œuvre pour la fourniture des services. Dans la mesure du possible, le Prestataire tentera de ne pas rendre indisponibles les applications informatiques pendant un temps excessif. Le Prestataire pourra interrompre à tout moment et sans préavis la connexion du serveur ou l’accessibilité du contenu hébergé si le Client manque à ses obligations, en particulier, s’il apparaît que le contenu hébergé constitue une menace pour la sécurité du réseau du Prestataire, au regard des règles de l’art. Si le Prestataire se trouve contraint de prendre des mesures de sécurisation, de sauvegarde et/ou de réinstallation du Serveur, d’autres équipements de son réseau ou de logiciels, du fait du risque créé par le contenu du Client hébergé par le Prestataire, ces prestations pourront être facturées au client.

En cas de non-respect de ses obligations par le Client, le Prestataire se réserve le droit de suspendre de plein droit et sans préavis l’accès au Service de Signature Electronique.

Article 7. Obligations des parties

Le Prestataire s’engage :

à mettre en œuvre et à maintenir pour le fonctionnement du Service, les dispositifs informatiques et matériels garantissant la valeur juridique des Documents signés via la Signature Electronique,
à mettre en place tous les moyens appropriés pour garantir la sécurité, l’intégrité et la confidentialité du contenu transitant sur la plateforme,
à informer et conseiller le Client sur les principaux niveaux de signatures et leurs usages. Toutefois, le Prestataire ne prend aucun engagement sur la conformité des prestations qu’il fournit à des règlementations « métier » applicables au Client.
à accompagner le Client et ses Conseils, en cas de contentieux lié à la validité des Signatures Electroniques réalisées par le Service de Signature Electronique. Notamment, le Prestataire s’engage à mettre à disposition du Client le Dossier de Preuve pour chaque signature, conformément à la Politique de Gestion des Preuves disponible sur simple demande et accessible depuis le Service de Signature Electronique

Le Client s’engage :

à collaborer avec le Prestataire de manière active et lui communiquer toute information lui permettant de comprendre son besoin,
à s’assurer qu’il n’est pas soumis à des obligations exigeant des niveaux ou des types de Signature Electronique spécifiques.
à utiliser le Service de Signature Electronique conformément à sa destination et dans le respect des présentes CGU et des dispositions légales et réglementaires applicables. A ce titre le Client reconnaît qu’il utilisera le Service de Signature électronique de manière raisonnable et conforme à son objet. Toute utilisation abusive, excessive (dans le cadre de l’offre SIGN Standard, plus de 2000 transactions par utilisateur et par an) ou contraire aux conditions prévues dans les présentes CGU pourra entraîner après notification préalable, une suspension ou une limitation des services, sans préjudice des éventuels recours que le Prestataire pourra exercer.
à vérifier les informations saisies lors de la création des transactions de Signatures Electroniques, notamment l’identité, l’adresse mail et le numéro de mobile de chaque Signataire.
à prendre connaissance et accepter la politique de gestion des preuves du Prestataire et le cas échéant la politique de certification de l’Autorité de Certification, la politique de vérification d’identité du prestataire de vérification d’identité à distance et la politique d’archivage du tiers de confiance mentionné dans le bon de commande. Les différentes politiques sont disponibles sur simple demande.
Le Client s’engage à respecter le règlement intérieur et la charte éthique d’Oodrive lorsqu’il accède aux locaux de ce dernier, notamment dans le cadre d’audits, de réunions, ou de comités de pilotage.

Afin de garantir le bon fonctionnement du service pour l’ensemble de ses clients, le Prestataire se réserve le droit de suspendre l’accès à la solution de manière temporaire ou définitive en cas d’utilisation abusive par le Client (exemple : spams, envoi de communication vers des emails incorrects, etc.).

Article 8. Convention de preuve

Le Client convient expressément que tout Document signé de manière dématérialisée au moyen du Service de Signature Electronique, dans le respect des présentes Conditions Générales d’Utilisation, constitue l’original du Document. Par conséquent, le Document aura la même valeur probante qu’un écrit sur support papier revêtu d’une signature manuscrite, sera opposable au Client et au Signataire et pourra être produit en justice, à titre de preuve littérale.

Afin de pouvoir produire le Document signé électroniquement en justice, le Client pourra être amené à apporter la preuve de la vérification des informations d’identité du Signataire tels que ses nom(s), prénom(s), adresse mail et numéro de téléphone mobile, ayant servi à la réalisation de la Signature Electronique. Pour la Signature Electronique sans Vérification d’Identité, le Prestataire préconise qu’une vérification de la pièce d’identité en cours de validité du Signataire soit effectuée par le Client préalablement à l’enregistrement de celui-ci sur le Service de Signature Electronique.

Le Client accepte que les transactions conclues et archivées par le Prestataire, en tout ou partie, dans le cadre du Service de Signature Electronique, les preuves de connexion, les pistes d’audit, les pièces justificatives, les courriers électroniques, soient admissibles devant les Tribunaux et fassent preuve des données et des éléments qu’ils contiennent.

Article 9. Données personnelles

Informations sur les Traitements de Données à Caractère Personnel opérés par le Prestataire

Le Client est averti que le Prestataire est susceptible de traiter des Données à Caractère Personnel de salariés ou d’éventuels partenaires du Client, dans le cadre de la gestion de la facturation et du recouvrement, du marketing et de la prospection commerciale. Les Données à Caractère Personnel traitées sont exclusivement hébergées en France Métropolitaine ou dans l’Union Européenne et sont conservées pour la durée légale en vigueur. Les Personnes Concernées peuvent exercer leur droit d’accès, de rectification, de suppression, de limitation et d’opposition aux Données à Caractère Personnel les concernant en envoyant un courrier électronique à privacy@oodrive.com.

Traitement de Données à Caractère Personnel dans le cadre de l’utilisation des Services

Dans le cadre de l’utilisation des Services, le Prestataire sera amené à traiter des Données à Caractère Personnel pour le compte du Client. A ce titre, le Client est Responsable du Traitement et le Prestataire est Sous-Traitant du Client.

Les Parties déclarent mettre en œuvre tous les moyens nécessaires pour être conformes avec leur obligations légales et règlementaires relatives à la protection des Données à Caractère Personnel, notamment la loi n°78-17 du 6 janvier 1978 (ci-après « Loi Informatique et Libertés ») ainsi que le Règlement (UE) 2016/679 sur la protection des données (ci-après « RGPD »).

Engagements du Prestataire

Le Prestataire s’engage à traiter les Données à Caractère Personnel dans le respect du Contrat, et le cas échéant de toute instruction documentée émanant du Client, sans en faire un quelconque usage pour son propre compte, ainsi qu’à les traiter de manière loyale et licite, conformément aux principes prévus aux articles 5 et 6 du RGPD, et à préserver leur confidentialité.

Droit des personnes

Le Prestataire s’engage à porter assistance au Client afin de lui permettre de répondre à toute demande d’exercice de droits par les Personnes Concernées, et/ou toute demande d’information émanant d’autorités de contrôle, administrations ou juridictions habilitées à formuler une telle demande.

Le DPO du Prestataire peut être contacté à l’adresse suivante : privacy@oodrive.com.

Le Prestataire devra notamment, et au plus tard dans un délai de dix (10) jours ouvrés à compter de la demande du Client, communiquer toutes les informations et réaliser toutes les actions permettant au Client de satisfaire à une demande d’exercice des droits émanant d’une Personne Concernée par le Traitement au titre des articles 12 à 23 du RGPD.

Le Prestataire s’engage à informer dans les meilleurs délais le Client de toute demande qui lui serait adressée directement, et plus généralement de tout événement affectant le Traitement des Données à Caractère Personnel, et à l’informer expressément avant d’accéder à toute demande émanant d’une Personne Concernée, ou d’une administration / juridiction habilitée à formuler une telle demande, sauf si une exception légale dûment justifiable interdit une telle information du Client.

Durée de conservation des Données à Caractère Personnel

Les Données à Caractère Personnel objets du Traitement ne seront traitées que pour la durée du Contrat, mais peuvent être supprimées avant la fin dudit Contrat sur la demande écrite du Client.

Au terme du Contrat, ou le cas échéant lorsque la conservation des Données à Caractère Personnel objets du Traitement par le Prestataire n’est plus légitime, ou lorsque la durée du Traitement touche à sa fin, le Prestataire s’engage à retourner au Client les Données à Caractère Personnel, ou à les détruire, selon les instructions du Client, dans les meilleurs délais et dans le respect des conditions prévues par le Contrat, à moins que la loi applicable n’exige leur conservation.

Sécurité

Le Prestataire s’engage à prendre toutes précautions utiles, au regard de la nature des Données à Caractère Personnel et des risques présentés par le Traitement, pour préserver la sécurité des Données à Caractère Personnel et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le Prestataire s’engage dans ce cadre à mettre en place toutes mesures techniques et organisationnelles de sécurité et de confidentialité appropriées, à documenter et à pouvoir apporter la preuve de ces démarches. Les dispositifs cryptographiques (signature, chiffrement) conformes à la norme RGS de l’ANSSI sont utilisés pour la protection des données personnelles.

Le Prestataire s’engage à veiller à ce que seuls ses personnels autorisés à traiter les Données à Caractère Personnel aux fins de l’exécution du Contrat, y aient accès dans la stricte limite de ce qui est nécessaire à l’accomplissement de leurs fonctions, et à ce que ses personnels s’engagent à respecter la confidentialité des Données à Caractère Personnel.

Mesures techniques et organisationnelles

Le Prestataire s’engage à mettre en œuvre des mesures organisationnelles et techniques nécessaires pour garantir la sécurité, la confidentialité et la protection des données personnelles et des informations traitées dans le cadre des services fournis. À ce titre, les mesures incluent notamment, sans s’y limiter :

Assurance Cybersécurité : Le Prestataire maintient une assurance couvrant les risques liés à la cybersécurité et à la protection des données.
Chiffrement des Données : Toutes les données sont chiffrées, tant en transit qu’au repos, afin de prévenir tout accès non autorisé.
Privacy by Design : Le Prestataire intègre le respect de la vie privée dès la conception de ses services et solutions, conformément aux principes de protection des données dès la conception et par défaut.
Tests d’Intrusion Réguliers : Des tests d’intrusion (« pentests ») sont effectués régulièrement pour identifier et corriger subséquemment les vulnérabilités de sécurité potentielles dans les systèmes du Prestataire.
Anonymisation des Données : le Prestataire applique des techniques d’anonymisation des données personnelles afin de minimiser les risques d’identification des personnes concernées.
Vidéo Surveillance : Le Prestataire utilise des dispositifs de vidéosurveillance pour protéger ses locaux et infrastructures critiques, dans le respect des législations applicables en matière de protection de la vie privée et de la confidentialité des données.
Sensibilisation : le Prestataire sensibilise ses salariés et ce dès leur on-boarding sur les principes essentiels du RGPD et teste leurs connaissances de manière régulière.

Ces mesures sont régulièrement réévaluées et ajustées en fonction des évolutions technologiques et réglementaires afin de garantir un niveau de sécurité optimal.

Localisation des Données à Caractère Personnel

Le Prestataire s’engage à ne pas transférer, et veille à ce que ses éventuels Sous-Traitants ne transfèrent pas non plus de Données à Caractère Personnel vers un pays tiers hors UE, ne bénéficiant d’un niveau de protection suffisant ou n’ayant pas fait l’objet d’une décision d’adéquation telle que prévue par l’article 45 du RGPD.

Sous-traitance

Le Client est averti que le Prestataire utilise des Sous-Traitants dans le cadre de la fourniture des Services. La liste des Sous-Traitants est présente en annexe du présent Contrat.

Le Prestataire s’engage à ne pas faire appel à de nouveaux Sous-Traitants, sans en avoir informé au préalable le Client.

Le Prestataire s’engage à ne pas remplacer un Sous-Traitant existant sans en avoir informé au préalable du Client. En cas de remplacement d’un Sous-Traitant existant, le Client peut faire valoir des objections raisonnables que le Prestataire s’engage à étudier.

Nonobstant ce qui précède, le Client consent à ce que le Prestataire puisse changer de prestataire de data centers à la condition que ce dernier soit situé dans l’Union Européenne, sous réserve que lesdits data centers respectent les exigences légales et règlementaires applicables en matière de protection des données, notamment le RGPD. Ce changement de Sous-Traitant ne devra en aucun cas altérer le niveau de sécurité ou de confidentialité des Données à Caractère Personnel.

Le Prestataire s’engage à imposer par contrat à ses éventuels Sous-Traitants les mêmes obligations en matière de protection de Données à Caractère Personnel que celles fixées par le présent Contrat. Le Prestataire s’engage notamment à assurer au Client que ses Sous-Traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées et conformément au RGPD et à la Loi Informatique et Libertés, et que ces derniers aient l’interdiction de sous-traiter sans l’accord préalable et exprès du Prestataire.

Le Prestataire reconnait être pleinement responsable vis-à-vis du Client si ses Sous-Traitants ne remplissent pas leurs obligations en matière de protection de Données à Caractère Personnel.

Notifications en cas de violation des Données à Caractère Personnel

En cas d’incidents ou de violation de Données à Caractère Personnel, affectant le Traitement, le Prestataire s’engage à informer le Client dans les meilleurs délais et si possible dans les quarante-huit (48) heures ouvrées après en avoir pris connaissance, et à prendre toutes mesures correctives appropriées. Le Prestataire s’engage notamment à communiquer dans les meilleurs délais au Client tous les éléments dont il dispose concernant les conditions entourant l’incident de sécurité, dont notamment la nature et l’étendue des Données à Caractère Personnel impactées, le nombre de Personnes Concernées, les conséquences probables et les conditions techniques dans lesquelles l’incident a eu lieu.

Accompagnement du Responsable du Traitement

Le Prestataire s’engage à coopérer avec le Client et à prendre toute mesure imposée par la Loi Informatique et Libertés / le RGPD, et/ou raisonnablement demandée par le Client, notamment en cas de contrôle de la CNIL.

Le Prestataire s’engage à tenir un registre listant les Traitements effectués pour le compte du Client en sa qualité de Sous-Traitant.

Le Prestataire s’engage à mettre à disposition du Client tous les éléments nécessaires pour démontrer le respect des obligations prévues par toutes lois et textes en vigueur relatifs à la protection des Données à Caractère Personnel et prévues au présent Contrat. Certains éléments confidentiels tels que des procédures de sécurités, seront mis à disposition uniquement dans le cadre d’une consultation dans les locaux du Prestataire.

Le Prestataire informera immédiatement le Responsable du Traitement si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions des lois et règlementations applicables et relatives à la protection des Données à Caractère Personnel.

Le Prestataire s’engage à fournir toute assistance raisonnable au Client dans le cadre d’éventuelles analyses d’impact relatives à la protection des Données à Caractère Personnel, ou dans le cadre de procédures menées par une autorité de contrôle.

En dehors de cas spécifiques et notamment d’une demande émanant d’une autorité de contrôle, le Prestataire s’interdit de communiquer des informations concernant une violation de Données à Caractère Personnel au public ou à un quelconque tiers.

Enfin, le Prestataire s’engage à coopérer avec le Client en cas de contrôle de la CNIL, ou de toute autorité administrative ou judiciaire, concernant le Traitement de Données à Caractère Personnel mis en œuvre dans le cadre de l’utilisation des Services.

Désignation d’un DPO

Le Prestataire déclare voir désigné un Délégué à la Protection des Données (« DPO »), en charge des questions relatives aux Données à Caractère Personnel objets du Traitement. Le DPO veillera à ce que les Traitements de Données à Caractère Personnel effectués dans le cadre du Contrat soient conformes à la Loi Informatique et Libertés/au RGPD.

Le DPO est joignable via l’adresse email privacy@oodrive.com.

Engagements du Client

Le Client choisit seul et de manière autonome les catégories de Personnes Concernées par le Traitement qu’il met en œuvre. A ce titre, le Client s’engage à recueillir le consentement des Personnes Concernées si cela s’avère nécessaire, et à être en mesure d’en apporter la preuve.

Le Client, en sa qualité de Responsable de Traitement, s’assure que les informations prévues aux articles 13 et 14 du RGPD et à l’article 32 de la loi Informatique et Libertés ont bien été communiquées aux personnes, selon les modalités requises.

Le Client s’engage à ne pas utiliser les Services proposés dans le cadre du Contrat, pour traiter des Données à Caractère Personnel dites « sensibles » au sens des articles 9 et 10 RGPD et de l’article 8 al.1 de la loi Informatique et Libertés.

A défaut, tout Traitement de Données à Caractère Personnel « sensibles » devra être préalablement signalé au Prestataire par écrit et se fera sous l’entière responsabilité du Client.

Notifications

Les notifications, communications et alertes prévues par le présent article, sont envoyées par le Prestataire au DPO du Client si ses coordonnées ont été communiquées à Oodrive ou, à défaut, à l’adresse de facturation du Service.

Article 10. Droit de propriété intellectuelle

Le Client reconnaît les droits de propriété intellectuelle du Prestataire sur toute documentation communiquée par le Prestataire, sur les marques Oodrive, et plus généralement sur le Service de Signature Electronique des Documents. Pour le monde entier, le Prestataire concède au Client un droit d’utilisation à distance, personnel, non exclusif et non transmissible du Service de Signature Electronique aux fins de signature des Documents dans le respect des présentes.

Article 11. Contrôle des exportations

Le Service de Signature Electronique ne pourra être utilisé dans les pays faisant l’objet de sanctions ou de mesures restrictives par la France, l’Union Européenne ou les Etats-Unis. Pour toute utilisation du Service de Signature Electronique hors de France, le Client aura la qualité d’exportateur au sens des lois et règlementations relatives au contrôle des exportations et fera son affaire, le cas échéant, d’obtenir les autorisations et licences correspondantes.

Article 12. Personnel d’Oodrive

Oodrive s’engage à respecter les dispositions de l’article L8221-1 du Code du travail relatif à l’interdiction du travail dissimulé.

Oodrive atteste sur l’honneur que les prestations sont réalisées avec des salariés employés régulièrement au regard des articles L1221-10, L3243-2 et R 3243-1 du Code du travail et qu’en cas d’emploi de salariés de nationalité étrangère, ces derniers seront dans une situation régulière, les autorisant à exercer une activité professionnelle en France.

A défaut, Oodrive s’engage à l’égard du Client et ce, de manière irrévocable, à garantir ce dernier de toutes les conséquences liées au manquement des obligations susvisées.

Article 13. RSE

Les Parties reconnaissent l’importance de la responsabilité sociétale et environnementale (RSE) dans leurs activités commerciales et conviennent de s’engager conjointement à promouvoir des pratiques commerciales durables et socialement responsables.

Les Parties s’engagent à respecter toutes les lois, réglementations et normes applicables en matière de RSE, y compris, mais sans s’y limiter, les principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, ainsi que les objectifs de développement durable des Nations Unies.

Chaque Partie s’engage à mettre en œuvre des politiques internes et des procédures pour garantir la conformité aux normes RSE.

Les Parties reconnaissent l’importance de la protection de l’environnement et s’engagent à réduire leur empreinte environnementale autant que possible. Elles conviennent de promouvoir des pratiques écologiquement durables dans le cadre de leurs activités commerciales.

Les Parties reconnaissent l’importance de la responsabilité sociale envers leurs employés, leurs fournisseurs, leurs Clients et de l’entreprise en général.

Chaque Partie s’engage à promouvoir des conditions de travail équitables, à respecter les droits de l’homme, à lutter contre la discrimination et à contribuer positivement au bien-être des salariés.

Article 14. Limites de responsabilité

Le Prestataire s’engage à réaliser les Signatures Electroniques conformément au règlement européen eIDAS, en fonction du niveau de Signature Electronique choisi. A ce titre, il s’engage à respecter les exigences du règlement européen eIDAS et des normes qui l’accompagnent. La responsabilité du Prestataire ne saurait être engagée pour des dommages subis par le Client, le Signataire ou un tiers quelconque et qui feraient suite à une usurpation d’identité ou à la communication d’informations fausses ou erronées par le Client, le Signataire ou toute personne indépendante du Prestataire et intervenant dans le processus de signature. Le Prestataire ne donne aucune garantie contre les usurpations d’identité sauf à ce qu’il soit démontré que celle-ci n’a été rendue possible que par le non-respect par le Prestataire de ses engagements contractuels. Le Prestataire se réserve le droit de poursuivre en justice tout utilisateur du Service de de Signature Electronique qui aurait communiqué ou tenté de communiquer volontairement de fausses informations, ayant pour effet de rendre invalide la Signature Electronique réalisée.

Le Client agit dans un cadre professionnel, sans avoir la qualité de consommateur et renonce à se prévaloir de la protection accordée aux consommateurs. La responsabilité éventuelle du Prestataire en raison de la fourniture du Service de Signature Electronique est limitée aux seuls dommages directs et prévisibles, prouvés par le Client et résultant exclusivement et directement d’une inexécution fautive par le Prestataire de ses obligations contractuelles. En outre, le Prestataire ne peut en aucun cas être tenu responsable de tout dommage indirect tels que notamment perte de profit et de clientèle, perte de revenus ou de renommée, perte d’usage et/ou autres dommages non prévisibles, et ce, même si le Prestataire était informé de la possibilité de survenance de tels dommages.

En cas de défaillance du Prestataire, le Client aura la faculté, sous réserve de prouver la faute du Prestataire à l’origine de cette défaillance, de solliciter la réparation du préjudice direct dont il apporterait la preuve.La responsabilité totale du Prestataire par année contractuelle et par sinistre, ne pourra être supérieure au montant payé par le Client au titre du Contrat pour l’année contractuelle en cours.

Pour la Signature Electronique sans Vérification d’Identité :

La responsabilité du Prestataire ne saurait être engagée pour des préjudices directs ou indirects ayant pour origine une invalidation de signature électronique pour défaut ou insuffisance d’authentification du signataire, celle-ci étant placée sous l’entière responsabilité du Client.

Pour la Signature Avancée avec Vérification d’Identité :

Une vérification automatisée d’un document d’identité est réalisée préalablement à chaque signature, sans toutefois garantir l’authenticité du document d’identité. La responsabilité du Prestataire ne saurait être engagée pour des préjudices directs ou indirects ayant pour origine l’utilisation par les Signataires de faux documents d’identité.

Pour la Signature Qualifiée :

La vérification de l’identité du Signataire est réalisée par l’Autorité de Certification au moment de la délivrance du Certificat Electronique. La responsabilité du Prestataire ne saurait être engagée pour des préjudices directs ou indirects ayant pour origine une invalidation de signature électronique pour défaut ou insuffisance d’authentification du signataire, celle-ci étant placée sous l’entière responsabilité de l’Autorité de Certification ayant délivré le Certificat Electronique.