Legals | My Website

Termes & conditions

MintT SA - TVA n° BE0544.636.885

Siège social : Avenue Louise 251 - 1000 Bruxelles

Quai Paul Verlaine 2, bx 2 - 6000 Charleroi

BELGIQUE

RPM Bruxelles

Tel : +32 (0)2 319 53 39

Email : contact@mintt.care

Site web : https://mintt.odoo.com/

Les services et matériels spécifiés dans l’offre adressée au Client et acceptée par celui-ci (l’ « Offre ») seront fournis par MintT SA, une société de droit belge dont le siège social est établi Avenue Louise 251, 1000 Bruxelles, Belgique et inscrite auprès de la Banque Carrefour des Entreprises sous le numéro 0544.636.885 (« MintT »), selon les présentes Conditions Générales. Les coordonnées complètes du Client sont reprises dans l’Offre. Le Client et MintT sont ci-après dénommés individuellement une « Partie » et collectivement les « Parties ».

ORDRE DE PRIORITÉ

En cas de conflit entre les dispositions du Contrat (constitué de l’Offre, des présentes Conditions Générales et des annexes), les dispositions qui s'appliquent seront déterminées selon la priorité suivante: (a) Offre, (b) Conditions Générales et (c) annexes. Aux fins de ce qui précède, une omission n'est pas considérée en soi comme donnant lieu à un conflit ou à une incohérence.

Tout bon de commande ou document similaire ou contrat émanant du Client (« Bon de Commande ») existant ou futur est réputé conclu conformément aux termes du Contrat (avec ou sans référence au Contrat) et est assujetti aux dispositions des présentes Conditions Générales, même si celles-ci ne sont pas expressément énoncées ou sont exclues par le Bon de Commande. Aucune condition d'un Bon de Commande ne s'applique au Contrat, nonobstant toute déclaration contraire sur le Bon de Commande.

2. OBJET

2.1 MintT s'engage à fournir au Client, qui accepte, les services et à louer et/ou vendre (selon le cas) les matériels spécifiés dans l’Offre, selon les termes et conditions des présentes Conditions Générales.

2.2 Le Client déclare qu'il connaît les caractéristiques techniques des services et matériels et qu'il les considère adaptées à ses besoins.

3. OCTROI DE LA LICENCE

3.1 MintT accorde au Client, qui accepte, un droit non exclusif, personnel, non transférable, non sous-licenciable, d'utiliser les services, en ce compris le tableau de bord (« Dashboard ») MyISA et la documentation, en ce compris le guide d’utilisateur MyISA, pendant la durée du Contrat (« Licence »). La Licence est concédée au Client uniquement, et ne sera pas considérée comme concédée à une filiale ou une société affiliée du Client.

3.2 Le Client doit se conformer à toute documentation contenant des procédures, lignes directrices et/ou recommandations relatives à l'utilisation des services ou matériels de MintT et à toute modification de celles-ci qui lui est notifiée de temps à autre.

4. RESTRICTIONS D’USAGE

4.1 Le Client s’engage à ce que chaque utilisateur autorisé conserve confidentiellement un mot de passe sécurisé pour son utilisation des services.

4.2 Le Client ne peut pas, dans le cadre de son utilisation des services, accéder, stocker, distribuer ou transmettre des virus, ou tout contenu illégal ou causant des dommages à toute personne ou propriété. MintT se réserve le droit, sans engager sa responsabilité envers le Client, de supprimer - dans la mesure du possible - tout contenu qui enfreint les dispositions de la présente Section 4.2.

4.3 Le Client ne peut pas :

(a) excepté lorsque cela est autorisé par toute loi applicable, dont l’application ne peut pas être exclue d’un commun accord par les Parties:

(i) et excepté dans la mesure expressément autorisée en vertu du Contrat, tenter de copier, modifier, dupliquer, créer des œuvres dérivées, republier, télécharger, afficher, transmettre, ou distribuer tout ou partie du logiciel mis à disposition dans le cadre des services dans une forme ou un format quelconque; ou

(ii) tenter des opérations de compilation inverse, désassemblage, reverse engineering ou d’autrement réduire le logiciel ou toute partie de celui-ci à une forme perceptible par l’homme; ou

(b) accéder à tout ou partie des services afin de développer un produit ou service concurrent aux services; ou

(d) donner en licence, vendre, louer, transférer, céder, distribuer, afficher, divulguer, ou autrement exploiter commercialement, ou autrement mettre les services à disposition de tiers;

(e) tenter d’obtenir, ou aider un tiers à obtenir, un accès aux services autrement que ce qui est prévu en vertu du Contrat ; ou

(f) utiliser les services d'une manière qui pourrait être contraire à la loi belge du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance ou à la loi locale correspondante dans un autre pays où le Client est établi.

4.4 Le Client déploiera des efforts raisonnables afin de prévenir tout accès ou utilisation non autorisé des services et, en cas d’accès ou d’utilisation non autorisé, notifiera promptement MintT.

4.5 Si l’utilisation des services par le Client n’est pas conforme au Contrat, MintT peut, à sa seule discrétion et sans préjudice du droit de réclamer des dommages et intérêts, désactiver le(s) accès litigieux ou mettre fin au Contrat conformément à la Section 17.

4.6 Les éventuelles API (Application Programming Interfaces) mises à disposition par MintT peuvent le cas échéant être soumises à des conditions d’utilisation ou restrictions d’usage additionnelles.

4.7 Au cas où l’Offre autorise l’interfaçage ou l’intégration avec une Plateforme Tierce (telle que définie à la Section 16 ci-dessous), les données communiquées par les services ne peuvent être utilisées par la Plateforme Tierce en vue d’être corrélées avec d’autres données ou utilisées pour des fonctionnalités autres que celles directement fournies par les services de MintT (sauf autorisation expresse dans l’Offre et moyennant la rémunération additionnelle spécifiée dans l’Offre).

5. Redevances – Révision des Redevances

5.1 En contrepartie des services et des matériels, le Client doit payer à MintT le total des redevances indiquées dans l’Offre, conformément à la Section 6. MintT a le droit de facturer au Client, aux tarifs alors en vigueur, tous les frais supplémentaires raisonnables (tels que les frais de déplacement) encourus par MintT lors de l’installation, de l'entretien ou de la modification d'un matériel ou service suite au non-respect par le Client de ses obligations contractuelles (y compris les obligations relatives à l'approvisionnement en électricité ou à l'adaptation des espaces couverts aux conditions requises).

5.2 Sauf indication contraire expresse dans l’Offre, tous les frais et prix sont exprimés en euros (EUR) et hors TVA et taxes applicables.

5.3 Les prix et redevances applicables peuvent être ajustés par MintT à tout moment après la Période Initiale, à condition que le Client en soit informé au moins trois (3) mois avant l'expiration de la Période Initiale ou de la Période Additionnelle en cours (telle que définie à l'article 17), selon le cas. En cas de hausse des tarifs (cette hausse ne s'appliquant qu'à partir de la Période Additionnelle suivante), le Client a le droit de résilier le Contrat sans frais supplémentaires au plus tard un (1) mois avant l'expiration de la Période Initiale ou de la Période Additionnelle en cours, le cas échéant.

5.4 Sans préjudice d'autres mécanismes d'adaptation possibles, tous les prix et redevances peuvent être indexés annuellement dans le mois de l'anniversaire de la date d’entrée en vigueur du Contrat spécifiée dans l’Offre selon la formule suivante :

Nouveau prix = prix initial x nouvel index

index initial

Si le Client est établi en Belgique, la formule suivante s’applique en lieu et place de la formule ci-dessus :

Nouveau prix = (prix initial) x (0,2 + 0,8 (nouvel index))

index initial

Dans les formules : l'indice initial est l'indice "Agoria Digital" du coût salarial (moyenne nationale) du mois précédant le mois de l'entrée en vigueur du Contrat; le nouvel indice est l'indice "Agoria Digital" du coût salarial (moyenne nationale) du mois précédant le mois de l'anniversaire du Contrat.

6. Facturation – Modalités de paiement

6.1 Sauf indication contraire expresse dans l’Offre, le Client devra payer tous les montants facturés dans les 15 jours calendriers suivant la date de réception de la facture. Sauf indication contraire expresse dans l’Offre, les redevances sont payables annuellement avant le début de l'année applicable.

6.2 Toute contestation relative à tout ou partie d'une facture doit être adressé à MintT par lettre recommandée avec accusé de réception dans les 15 jours calendriers suivant la date de réception de la facture correspondante. Passé ce délai, le Client est irrévocablement réputé avoir accepté le montant facturé. Un litige ne libère pas le Client de ses obligations de paiement par rapport aux montants non contestés.

6.3 En cas de retard de paiement, MintT a droit de plein droit et sans mise en demeure à un intérêt de dix pour cent (10%) par an sur cette somme impayée, pro rata temporis à compter de la date à laquelle le paiement est dû jusqu'à la date du paiement effectif, avec un minimum de 150 euros et sans préjudice de tout autre droit ou recours en vertu du Contrat ou du droit applicable.

6.4 MintT peut suspendre ou résilier le Contrat à sa seule discrétion, et sans devoir recourir à une action judiciaire, si le Client n'a pas payé toute somme due dans les 15 jours calendriers suivant la notification écrite de ce non-paiement, sans préjudice des autres droits ou recours de MintT en vertu du Contrat ou des lois applicables.

7. MATERIELS

7.1 Livraison

7.1.1. MintT déploiera ses meilleurs efforts pour livrer les matériels au Client conformément à la date de livraison convenue par les Parties. Cette date de livraison n’est donnée qu'à titre indicatif et sans engagement.

7.1.2. Si un retard de livraison est causé par un cas de force majeure ou par tout acte ou omission du Client, le délai de livraison sera prolongé d'une période raisonnable selon les circonstances.

7.1.3. MintT livrera les matériels au Client à l'adresse indiquée dans l’Offre.

7.1.4. Immédiatement après la livraison des matériels, le Client doit inspecter ces matériels et notifier par écrit à MintT sans délai - et en tout cas pas plus de deux (2) jours ouvrables après la livraison - toute réclamation pour défauts et non-conformité apparents en termes de spécifications ou écarts de quantité. En l'absence d'une telle notification, tous les matériels livrés seront réputés conformes aux spécifications applicables et seront considérés comme irrévocablement acceptés par le Client.

7.2 Installation

7.2.1. Le Client s'engage à mettre en place à sa charge et à ses frais, dans les pièces dans les locaux du Client où les capteurs sont (seront) installés (« Espaces couverts par un capteur »), suffisamment d'espace libre et convenable pour permettre leur installation, conformément aux conditions raisonnables exigées par MintT. En particulier, le Client est responsable des éléments non-exhaustifs suivants: espace suffisant; alimentation électrique; connexion au réseau (réseau local avec accès Internet ou accès direct à Internet); maintien de la température et de l'humidité.

7.2.2. Si l'installation des matériels est fournie par MintT (ou toute personne désignée par MintT), tel que spécifié dans l’Offre, le Client doit informer immédiatement MintT si des systèmes techniques ou autres (eau, gaz, électricité, etc.) pourraient être endommagés pendant l'installation des matériels. Nonobstant toute disposition contraire, MintT ne peut être tenue responsable des dommages découlant du non-respect par le Client de ses obligations.

7.2.3. Si l'installation des matériels est effectuée par le Client (ou toute personne désignée par le Client), le Client sera responsable de tous les coûts découlant de l'installation des matériels (en ce compris les coûts d'installation et les éventuels dommages aux matériels). MintT s’engage à:

a) fournir, configurer et livrer les matériels pour l'installation « plug and play » par le Client ; et

b) tester et valider que les matériels installés sont accessibles depuis le Dashboard.

7.3 Titre et propriété

La propriété des matériels achetés par le Client en vertu du Contrat demeure la propriété de MintT jusqu'à ce que le prix d'achat du matériel soit entièrement payé. Toutefois, à compter de la date de livraison, le Client est responsable de tous les frais résultant du vol, de la perte, de la destruction ou de l'endommagement des matériels. La propriété des matériels loués par le Client en vertu du Contrat demeure la propriété de MintT

7.4 Désinstallation et retour des matériels

La désinstallation et/ou le retour des matériels seront à la charge exclusive du Client (aux tarifs de MintT alors en vigueur), sauf pour le retour des éléments couverts par la garantie limitée prévue ci-dessous. Tout coût et toute responsabilité pour les réclamations, la livraison, la perte ou les dommages, y compris, le cas échéant, l'installation, la désinstallation et l'entreposage, sont à la charge du Client jusqu'à ce que les matériels soient retournés à et en possession de MintT.

7.5 Obligations du Client

En cas d’achat de matériels, le Client doit permettre à MintT d'accéder aux Espaces couverts par un capteur pour inspecter les matériels et permettre à MintT de fournir au Client un service d'entretien ou de réparation des matériels conformément à la Section 7.6, moyennant un préavis raisonnable et sous réserve des exigences raisonnables du Client en matière de confidentialité, sécurité, santé et sécurité.

En cas de location de matériels, après réception des matériels, le Client s’engage à : (i) conserver les matériels en bon état et les retourner à l'expiration ou à la résiliation du Contrat ; (ii) ne pas transférer, déplacer ou modifier les matériels ; (iii) ne pas grever les matériels de tout droit de sûreté, privilège ou autre charge ; (iv) faire preuve de diligence raisonnable et appropriée dans le fonctionnement, l'utilisation et la maintenance des matériels et maintenir ceux-ci en bon état et fonctionnels ; (v) être seul responsable de tous les risques et assumer tous les risques et payer ou rembourser à MintT tous les coûts découlant du vol ou de toute autre perte, destruction ou dommage des matériels, quelle qu'en soit la cause, jusqu'à ce que les matériels soient retournés à MintT ; (vi) donner à MintT accès aux Espaces couverts par un capteur pour inspecter les matériels et lui permettre de fournir un service de maintenance ou de réparation sur les matériels, moyennant un préavis raisonnable et sous réserve des exigences raisonnables du Client en matière de confidentialité, de sécurité, de santé et de sécurité ; (vii) accorder à MintT l'accès aux Espaces couverts par un capteur pour désinstaller et récupérer les matériels le cas échéant ; et (viii) maintenir en vigueur pendant la durée du Contrat, aux frais du Client, une assurance multirisques et générale couvrant les matériels. Une telle couverture d'assurance sera obtenue auprès de compagnies d'assurance réputées. Sur demande raisonnable de MintT, le Client s’engage à fournir des certificats d'assurance valides.

7.6 Garanties limitées

MintT garantit que pendant une période d'un an suivant la date de livraison des matériels au Client (en cas d’achat) ou pour la durée du Contrat (en cas de location), les matériels non modifiés seront exempts de tout défaut de matériau, de fabrication et de conception. Si un défaut de matériau, de fabrication et/ou de conception est signalé à MintT au cours de la période de garantie précitée, MintT s’engage, à sa discrétion, à réparer ou remplacer les matériels ou rembourser le Client pour les matériels défectueux. En cas de réparation ou de remplacement, MintT s'acquittera de son obligation de réparation/remplacement dans un délai raisonnable et convenu d'un commun accord.

Aucun employé, représentant, donneur de licence ou agent de MintT n'est autorisé à apporter des modifications, extensions ou ajouts à ces garanties limitées.

Sous réserve des dispositions qui précédent, les matériels sont fournis « tels quels », et toutes les autres conditions, déclarations et garanties expresses ou implicites, y compris, de façon non limitative, toute garantie implicite de qualité marchande, d'adéquation à un usage particulier (même si elles sont communiquées dans ce but), ou découlant d'une pratique commerciale, d'utilisation, d'usage, ou d'usage commercial, sont exclues dans toute la mesure autorisée par le droit applicable.

Toute modification ou altération des matériels peut entraîner l'impossibilité d'utiliser les services. MintT n’est pas responsable de toute interruption des services causée par la modification ou l'altération par le Client des matériels.

7.7 Réparation et remplacement

En cas de défaillance d'un matériel, le Client contactera MintT à contact@mintt.care pour obtenir un numéro d'autorisation de retour de matériel (RMA). La pièce de rechange peut être remise à neuf ou remplacée par des produits similaires au choix de MintT. MintT ne peut garantir que des unités de remplacement neuves seront fournies.

8. Plateforme et Dashboard de MintT – Accessibilité et prise en charge des éventuels problèmes

8.1 MintT prendra toutes les mesures raisonnables pour rendre les services accessibles pour le Client 7 jours par semaine, 24 heures par jour, sauf en cas de maintenance prévue ou d’urgence et sans qu’elle n’accepte une obligation de résultat à cet égard.

8.2 MintT maintient régulièrement la plateforme MyISA et le Dashboard. Dans la mesure du possible, MintT informera le Client de toute maintenance (prévue ou non) susceptible d'avoir une incidence sur les services, même si aucune interruption de service n'est à prévoir.

8.3 Rapport d’Erreur

MintT sera disponible pour recevoir les rapports d'erreur, de défaut ou de mauvais fonctionnement des services (« Erreur ») de 9h00 à 17h00, heure locale belge (CET), chaque jour ouvrable (« Heures d’Ouverture Normales »). Les Erreurs subies par le Client seront signalées par un Contact Autorisé du Client par courrier électronique à l'adresse support@mintt.care ou via un autre canal de communication spécifié par MintT. Chaque rapport d'Erreur sera accompagné ou suivi d'une information suffisante pour permettre à MintT de reproduire et de vérifier l'Erreur. MintT s'efforcera, dans la mesure du possible, de reproduire et de vérifier les Erreurs signalées et de fournir soit (a) une correction de bogue, un correctif ou toute autre modification ou addition qui, lorsqu'elle est apportée ou ajoutée aux services, corrige une Erreur, soit (b) une procédure ou une routine qui, lorsqu'elle est observée dans le fonctionnement régulier du service, élimine les effets pratiques négatifs d'une Erreur sur le Client (« Correction d'Erreur »), conformément aux délais de réponse initiaux et aux autres modalités énoncées dans les présentes, en fonction de la gravité des Erreurs :

La « Gravité 1 » est une situation de production d'urgence où le service est totalement inutilisable ou tombe en panne de manière catastrophique et où il n'y a pas de solution de contournement ;

La « Gravité 2 » est une situation préjudiciable (et il n'y a pas de solution de contournement) où (a) la performance se dégrade sensiblement entraînant un impact grave sur l'utilisation, (b) le service est utilisable mais matériellement incomplet ; ou (c) une ou plusieurs fonctions ou commandes principales sont inopérables ;

La « Gravité 3 » est une situation dans laquelle le service est utilisable, mais ne fournit pas une fonction de la manière la plus pratique ; et

La « Gravité 4 » est un problème mineur ou une erreur de documentation.

8.4 Correction d’Erreur

Erreur de Gravité 1. MintT s'efforcera, dans la mesure du possible, de commencer le travail de vérification de l'Erreur dans les quatre (4) heures durant les Heures d’Ouverture Normales suivant la réception du rapport d'Erreur du Client. Après vérification, MintT fera des efforts raisonnables sur le plan commercial pour corriger l'erreur avec une Correction d'Erreur dans les deux (2) jours ouvrables. MintT fournira au Client des rapports périodiques (à des moments convenus d'un commun accord) sur l'état de la Correction d'Erreur.

Erreur de Gravité 2. MintT s'efforcera, dans la mesure du possible, de commencer le travail de vérification de l'Erreur dans un délai d'un (1) jour ouvrable durant les Heures d’Ouverture Normales suivant la réception du rapport d'Erreur du Client. Après vérification, MintT fera des efforts raisonnables sur le plan commercial pour corriger l'erreur avec une Correction d'Erreur dans les trois (3) jours ouvrables. MintT fournira au Client des rapports périodiques (à des moments convenus d'un commun accord) sur l'état de la Correction d'Erreur.

Erreur de Gravité 3. MintT s'efforcera, dans la mesure du possible, de commencer le travail de vérification de l'Erreur dans un délai de cinq (5) jours ouvrables durant les Heures d’Ouverture Normales suivant la réception du rapport d'Erreur du Client. Après vérification, MintT fera des efforts raisonnables sur le plan commercial inclure Correction d'Erreur dans une mise à jour subséquente. MintT fournira au Client des rapports périodiques (à des moments convenus d'un commun accord) sur l'état de la Correction d'Erreur.

Erreur de Gravité 4. MintT considéra la requête d’inclusion d’une Correction d'Erreur dans une mise à jour subséquente du Logiciel.

9. Obligations de MintT dans le cadre des services

9.1 MintT doit, à ses frais, déployer tous les efforts commerciaux raisonnables pour corriger tout problème dans la fourniture des services, ou fournir au Client un autre moyen d'atteindre l'exécution prévue aux termes du Contrat. Ceci constitue le seul et unique recours du Client en cas de violation de la présente Section.

9.2 MintT ne garantit pas que l'utilisation des services par le Client sera ininterrompue ou sans erreur ; ni que les services répondront aux exigences du Client.

9.3 MintT n’est pas responsable des retards, des défaillances de livraison ou de toute autre perte ou dommage résultant de l’utilisation des réseaux et installations de communications (tels que le réseau Internet).

9.4 MintT ne sera pas responsable en cas d'exécution incomplète, incorrecte ou non conforme des services causée par une utilisation des services par le Client ou par les utilisateurs autorisés contraire aux instructions de MintT, ou par une modification ou altération des services par toute partie autre que les prestataires ou agents dûment autorisés de MintT.

10. Obligations du Client

10.1 Le Client s'engage à fournir à MintT (i) toute la coopération nécessaire dans le cadre du Contrat et (ii) l'accès nécessaire aux informations requises par MintT.

10.2 Le Client est seul responsable de la protection de ses systèmes informatiques et assume l'entière responsabilité de toutes les conséquences néfastes de l'utilisation erronée, illégale ou non autorisée du réseau ou de la plateforme de MintT et/ou des services par lui-même ou par des tiers.

10.3 Le Client s'assurera que les utilisateurs autorisés utilisent les services conformément au Contrat et sera responsable de toute violation par un utilisateur autorisé.

10.4 Le Client est seul responsable de l'acquisition et du maintien de ses connexions réseau et de ses liaisons de télécommunications à partir de ses systèmes vers les services.

11. Limitation de Responsabilité

11.1 Les obligations de MintT dans le cadre de la fourniture des services sont des obligations de moyens et non des obligations de résultat.

11.2 MintT ne peut être tenue responsable des interruptions des services dues à des causes indépendantes de sa volonté, tels que des problèmes causés par l'équipement du Client ou une utilisation contraire aux instructions des services ou matériels, attribuables au Client ou à des tiers.

11.3 Sans préjudice des dispositions plus restrictives en matière de responsabilité énoncées dans le Contrat, MintT ne sera en aucun cas responsable de toute perte de données, perte de revenus, perte de profits, atteinte à la réputation, interruption des activités ou tout dommage indirect, accessoire, consécutif, spécial, punitif, exemplaire ou de tout autre type de dommage similaire découlant du contrat ou s'y rapportant, notamment l'utilisation des services ou matériels, l'incapacité à utiliser ces derniers.

11.4 Sans préjudice des dispositions plus restrictives en matière de responsabilité énoncées dans le Contrat, et sauf en cas de décès ou de dommages corporels, la responsabilité maximale globale de MintT envers le Client découlant du Contrat ou s'y rapportant, y compris l'utilisation ou l'incapacité d'utiliser les services et/ou les matériels, ne peut en aucun cas dépasser une somme égale aux montants totaux effectivement payés par le Client à MintT en vertu du contrat pour le service et/ou le matériel concerné pendant les 12 mois précédant immédiatement le moment donnant lieu à une responsabilité.

11.5 MintT exclu par ailleurs toute responsabilité liée à l'utilisation des services et/ou matériels en combinaison avec tout logiciel, matériel, données et/ou matériel non fournis par MintT. En particulier, MintT exclu toute responsabilité pour les données transitant par des Plateformes Tierces (telles que définies à la Section 16 ci-dessous).

11.6 L'existence de plus d'une demande n'aura pas pour effet d'élargir ou de prolonger les limites établies dans cette Section 11. Le Client garantit que les données personnelles ont été collectées conformément à tout règlement de l'Union européenne directement applicable, en ce compris de façon non limitative le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données - " RGPD ") ainsi que tout acte dérivé du RGPD, loi belge et Arrêté Royal belge d'exécution du RGPD, en ce compris la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et (ii) toute législation similaire applicable de pays situés hors de l'Union Européenne (« Loi Vie Privée »). Le Client garantit par ailleurs qu'il est autorisé par la Loi Vie Privée à permettre à MintT de traiter ces données personnelles. Ceci inclut, de façon non limitative, le respect par le Client de ses obligations de traiter les données personnelles conformément à une base légale valide et de fournir les informations obligatoires en vertu de la Loi Vie Privée aux personnes concernées. Le Client garantit en outre MintT contre toute réclamation ou réclamation formulée par une personne concernée en relation avec les services et le traitement des données personnelles du Client.

11.7 Les plaintes doivent être signalées par le Client à MintT dans les cinq jours calendriers suivant la survenance de l'incident. A l'expiration de ce délai, MintT pourra considérer la réclamation du Client comme irrecevable et MintT n'aura plus aucune obligation ou responsabilité à l'égard dudit incident.

12. INDEMNISATION

12.1 Le Client défendra, indemnisera et dégagera de toute responsabilité MintT, ses dirigeants, administrateurs, employés, agents et sous-traitants contre les réclamations, actions, procédures, pertes, dommages, dépenses et coûts (y compris, de façon non limitative, les frais judiciaires et les frais juridiques raisonnables) découlant de l'utilisation des services par le Client ou en rapport avec celle-ci.

12.2 MintT fournira une coopération raisonnable au Client dans la défense et le règlement de toute réclamation, aux frais du Client.

13. Propriété – Droits de Propriété Intellectuelle

13.1 Les services et matériels de MinttT, le Dashboard, la plateforme ISA, la documentation, le contenu des sites Web de MintT, sont la propriété de MintT ou de ses donneurs de licence et protégés par des droits d'auteur, marques, droits sur les bases de données, droits sur les logiciels et programmes informatiques, secrets industriels, autres droits de propriété intellectuelle, industrielle et/ou autres droits de propriété pouvant exister dans le monde (« Droits de Propriété Intellectuelle »). Tous les Droits de Propriété Intellectuelle développés par MintT dans le cadre de la fourniture des services au Client sont la propriété exclusive de MintT.

13.2 Le droit d'utiliser les services ne confère au Client qu'un droit personnel et incessible d'utiliser les services, pendant une période déterminée, comme spécifié dans le Contrat.

14. CONFIDENTIALITÉ

14.1 Toute information divulguée par une Partie (la “Partie Divulgatrice”) à l’autre Partie (le “Destinataire”) de nature technique, financière, juridique, stratégique ou commerciale et qui n’est pas publique, dans le cadre de la négociation contractuelle ou de l’exécution du Contrat, est considérée constituer une « Information Confidentielle », ainsi que toute copie, analyse, synthèse ou résumé d’Informations Confidentielles. Les Informations Confidentielles de MintT comprennent entre autres les détails des services, les résultats de tout test de performance des services, les codes source et binaire des logiciels, les data modèles, les algorithmes, les données anonymisées observées et générées par MintT durant l’exécution du Contrat.

14.2 Tant pendant la durée du Contrat qu’après la résiliation ou l’expiration de celui-ci (aussi longtemps que les Informations Confidentielles restent confidentielles et au minimum pendant une période de cinq (5) ans à compter de la résiliation ou l’expiration du Contrat, indépendamment de la cause), le Destinataire doit maintenir confidentielle l’Information Confidentielle de la Partie Divulgatrice et, sauf lorsque cela est requis par le droit applicable (i) ne peut divulguer les Informations Confidentielles de la Partie Divulgatrice à des tiers sans l’accord écrit préalable de la Partie Divulgatrice, à l’exception des personnes qui doivent nécessairement avoir connaissance des Informations Confidentielles pour permettre au Destinataire d’exécuter ses obligations en vertu du Contrat et (ii) ne peut faire usage de l’Information Confidentielle de la Partie Divulgatrice à d’autres fins que l’exécution des obligations du Destinataire en vertu du Contrat. Le Client accepte que MintT puisse divulguer certaines Informations Confidentielles du Client aux sous-traitants de MintT aux fins de la fourniture des services, le cas échéant.

14.3 Le Destinataire appliquera le même degré de protection que celui qu’il applique pour protéger ses propres informations confidentielles de nature similaire, mais pas moins qu’un degré raisonnable de protection, afin de prévenir la divulgation, la publication ou la dissémination non-autorisée des Informations Confidentielles de la Partie Divulgatrice.

14.4 MintT est autorisé à utiliser les Informations Confidentielles du Client afin de fournir les services. MintT est par ailleurs autorisé à utiliser les Informations Confidentielles du Client anonymisées afin d’améliorer ses services et/ou logiciels, à des fins statistiques et de recherche et développement, et en vue de développer tout autre service et/ou logiciel (y compris à des fins d’entraînement des algorithmes, d’adaptation des services et d’apprentissage automatique (machine learning)). Les informations qui en résultent seront considérées comme des Informations Confidentielles dérivées qui appartiennent à MintT. MintT peut transférer les données anonymes observées et générées durant l’exécution du Contrat à des tiers, les utiliser ou les commercialiser pour autant que MintT ne viole pas ses obligations de confidentialité et que ces données ne contiennent pas de données à caractère personnel. MintT n’a aucune obligation de transférer ou révéler ses Informations Confidentielles au Client. Le Client n’a aucun droit sur les créations, logiciels, données ou observations qui en résultent.

14.5 Le Destinataire s’engage à informer immédiatement la Partie Divulgatrice dans l’éventualité où elle devait prendre connaissance d’une obtention, utilisation ou divulgation illicite d’Informations Confidentielles de la Partie Divulgatrice.

14.6 Le Destinataire est autorisé à divulguer les Informations confidentielles de la Partie Divulgatrice à des tiers dans la mesure où la loi ou une décision de justice l'exige, à condition que le Destinataire (i) en informe préalablement la Partie divulgatrice par écrit (si cela est autorisé) et (ii) coopère avec la Partie divulgatrice pour tenter de limiter, d'empêcher ou d'éviter légalement une telle divulgation, ou pour exiger que cette divulgation soit soumise à des obligations de confidentialité.

14.7 Le Destinataire s’engage, à la première demande de la Partie Divulgatrice et au plus tard à la date de la cessation de la relation contractuelle, à cesser immédiatement toute utilisation des Informations Confidentielles.

15. Protection des données à caractère personnel

15.1 Données personnelles de l’administrateur de la plateforme MyISA

15.1.1 MintT traite en tant que responsable du traitement les données personnelles de l’administrateur de la plateforme MyISA (désigné par le Client) aux fins de gestion et d’administration des accès à la plateforme MyISA. Ce traitement se fait sur la base des intérêts légitimes de MintT (à savoir, exécuter ses obligations contractuelles vis-à-vis du Client et identifier et gérer l’administrateur désigné pour gérer la plateforme MyISA). Les informations sur la façon dont MintT traite ces données personnelles sont incluses dans l’ANNEXE A – NOTICE D’INFORMATION ADMINISTRATEUR, également disponible à l’adresse https://mintt.care/legaldocs/NoticeAdmin-FR.

15.1.2 Le Client s'engage à fournir une copie du contenu de l’ANNEXE A – NOTICE D’INFORMATION ADMINISTRATEUR à l’administrateur désigné en son sein pour gérer les accès à la plateforme MyISA et aux services, ainsi que de toute mise à jour ou modification fournie le cas échéant par MintT au Client.

15.2 Traitement de données personnelles par MintT en tant que sous-traitant, pour le compte du Client

15.2.1 Dans le cadre de l'exécution du Contrat, MintT est amenée à traiter des données personnelles pour le compte du Client et agit en tant que sous-traitant, le Client agissant en tant que responsable du traitement.

15.2.2 L’ANNEXE B – CONTRAT DE SOUS-TRAITANCE contient les clauses contractuelles applicables complétées sur la base des clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du 4 juin 2021 du Parlement européen et du Conseil (DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION). Les Parties s’engagent à signer l’ANNEXE B – CONTRAT DE SOUS-TRAITANCE concomitamment au Contrat.

15.2.3 Le Client garantit que les données personnelles ont été collectées conformément à tout règlement de l'Union européenne directement applicable, en ce compris de façon non limitative le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données - " RGPD ") ainsi que tout acte dérivé du RGPD, loi belge et Arrêté Royal belge d'exécution du RGPD, en ce compris la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et (ii) toute législation similaire applicable de pays situés hors de l'Union Européenne (« Loi Vie Privée »). Le Client garantit par ailleurs qu'il est autorisé par la Loi Vie Privée à permettre à MintT de traiter ces données personnelles. Ceci inclut, de façon non limitative, le respect par le Client de ses obligations de traiter les données personnelles conformément à une base légale valide et de fournir les informations obligatoires en vertu de la Loi Vie Privée aux personnes concernées. Le Client garantit en outre MintT contre toute réclamation ou réclamation formulée par une personne concernée en relation avec les services et le traitement des données personnelles du Client.

16. Produits de Tiers

Les produits de MintT peuvent contenir ou être accompagnés de certains produits de tiers qui sont fournis au Client selon des modalités différentes de celles du Contrat, ou qui exigent que MintT fournisse au Client une convention d'utilisation distincte, certains avis et/ou d'autres informations connexes. L'utilisation par le Client d'un produit d'un tiers pour lequel MintT peut avoir identifié un contrat d'utilisation séparé, des avis ou d'autres informations connexes seront soumis aux termes et conditions qui y sont contenus. Le Contrat ne s'applique pas à ces produits tiers. Par ailleurs, MintT peut, via certaines API (Application Programming Interfaces), permettre au Client d’intégrer tout ou partie des services dans une plateforme de gestion tierce (« Plateforme Tierce »).

17. Durée et Fin du Contrat

17.1 Le Contrat entre en vigueur à la date spécifiée dans l’Offre. Sauf indication contraire expresse dans l’Offre, la période initiale du Contrat est de 36 mois (la « Période Initiale »). Après l'expiration de la Période Initiale, le Contrat est automatiquement reconduit pour des périodes successives de trois (3) ans (les « Périodes Additionnelles ») à défaut de congé notifié par écrit par l’une des Parties à l’autre Partie au moins trois (3) mois avant l’expiration de la Période Initiale ou de toute Période Additionnelle en cours, selon le cas.

17.2 Le Client a le droit de mettre fin au Contrat dans l’éventualité où le Client n’accepterait pas les changements substantiels au présentes Conditions Générales, notifiés au Client par MintT au moins trente (30) jours calendriers avant la date d’entrée en vigueur annoncée desdits changements. Le Client doit notifier à MintT, par écrit envoyé par courrier recommandé, ses objections quant aux changements substantiels des Conditions Générales, ainsi que son intention de mettre fin au Contrat, endéans les trente (30) jours calendriers de la notification desdits changements par MintT. La Section 5.3 s’applique dans le cadre d’un ajustement des redevances.

17.3 Le Client a le droit de mettre fin au Contrat, sans devoir justifier d’une raison particulière, moyennant le paiement d’une indemnité équivalente à six (6) mois de service.

17.4 Chaque Partie peut mettre fin au Contrat sans que sa responsabilité ne soit engagée vis-à-vis de l’autre Partie et sans devoir recourir à une action judiciaire:

(a) si l’autre Partie viole substantiellement une disposition du Contrat et (s’il est possible de remédier à cette violation) ne remédie pas à la violation dans les trente (30) jours calendriers de la notification écrite à cette Partie de la violation; ou

(b) en cas de décision ou d’ordonnance prononçant la dissolution ou la faillite de l’autre Partie, ou de circonstances autorisant une juridiction compétente de décider de la dissolution de l’autre Partie; ou

17.5 Lorsque le Contrat prend fin pour quelque raison que ce soit:

(a) le Client retourne les matériels loués (le cas échéant) ; et

(b) le Destinataire supprime toute Information Confidentielle de la Partie Divulgatrice (avec confirmation écrite), exception faite pour les back-ups routiniers et les copies nécessaires pour la défense des droits des Parties (lesquels restent soumis aux obligations de confidentialité du Contrat) au plus tard trente (30) jours calendriers après la fin du Contrat.

17.6 Le Client ne sera pas déchargé de son obligation de payer toutes les sommes dues en vertu du Contrat avant la date de suspension, d'expiration ou de résiliation du Contrat.

18. REFERENCEMENT

Le Client autorise MintT à faire référence au nom du Client dans sa liste de clients. Le Client convient en outre que MintT peut mentionner le fait qu'il utilise les services de MintT dans ses documents de marketing et sur ses sites Web. Le Client accorde à MintT une licence non exclusive et libre de redevance pour l'utilisation de la marque et du logo du Client dans le matériel de marketing de MintT. MintT doit se conformer à toutes les instructions raisonnables écrites données par le Client par rapport à une telle utilisation. Cette licence est accordée à MintT pendant la durée du Contrat uniquement.

19. DIVERS

19.1 Le Contrat est régi par le droit belge et est interprété conformément au droit belge, sans qu’il ne soit donné effet à une quelconque autre règle ou disposition relative au choix du droit applicable ou règle de conflit de lois (belge, étrangère ou internationale) qui aurait pour conséquence la désignation, comme droit applicable, du droit d’une juridiction autre que la Belgique.

19.2 Tout litige relatif à la validité, l’interprétation, l’exécution ou la fin du Contrat et/ou des services est de la compétence exclusive des cours et tribunaux francophones de Bruxelles (Belgique).

19.3 Le Contrat contient l'intégralité de l'accord entre les Parties à l'égard de l'objet auquel elle fait référence et contient tout ce que les Parties ont négocié et convenu dans le cadre du présent Contrat. Il remplace et annule tout accord, communication, offre, proposition ou correspondance, oral ou écrit, préalablement échangé ou conclu entre les Parties et portant sur le même objet. Aucun amendement ou modification du Contrat ne prend effet s'il n'est fait par écrit et n'est signé par des représentants dûment autorisés des Parties.

19.4 Rien dans le Contrat n’a pour but de créer ou crée un partenariat entre les Parties, ou n’autorise une Partie à agir comme agent de l’autre Partie. Aucune des Parties n’a l’autorité pour agir au nom et pour le compte de l’autre Partie ou d’autrement lier l’autre Partie.

19.5 Le Client ne peut pas, sans l’accord écrit préalable de MintT, céder, transférer, obtenir une rémunération, sous-traiter ou monnayer vis-à-vis de tiers d’une quelconque autre manière tout ou partie de ses droits ou obligations dans le cadre du Contrat.

19.6 MintT peut, à tout moment, céder, transférer, obtenir une rémunération, sous-traiter ou monnayer vis-à-vis de tiers d’une quelconque autre manière tout ou partie de ses droits ou obligations dans le cadre du Contrat. MintT peut par ailleurs sous-traiter l'exécution de ses obligations en vertu du Contrat, auquel cas MintT demeure entièrement responsable envers le Client de l'exécution des parties sous-traitées des services.

19.7 MintT est libre de céder ou transférer le Contrat dans son intégralité ou en partie ou ses droits et/ou obligations en vertu du Contrat à ses filiales ou à des tiers, dans la forme et selon la structure que MintT juge appropriées. Ce paragraphe s’applique à tout type de transfert de droits ou obligations en vertu du Contrat, que ce soit comme actif individuel ou partie d’un transfert d’universalité ou branche d’activité, et notamment, sans limitation, en cas de fusion, scission, apport d’universalité ou branche d’activité, liquidation, faillite ou transformation de MintT.

19.8 Toute renonciation à un droit doit être faite de façon expresse et par écrit.

19.9 Si l'une des dispositions (ou partie d’une disposition) du Contrat vient à être déclarée invalide, inexécutable ou illégale par une juridiction ou autorité administrative compétente, les autres dispositions resteront d’application. Dans le cas où une telle disposition invalide, illégale ou inapplicable affecte la nature entière du Contrat, chacune des Parties s’efforcera de négocier immédiatement et de bonne foi une clause de remplacement légalement valide. Si aucun accord sur une telle disposition n'a été conclu dans un délai de trente (30) jours, chacune des Parties a le droit de résilier le Contrat moyennant un préavis écrit de trente (30) jours.

19.10 MintT ne pourra être tenue responsable d'un retard ou d'un manquement à l'une quelconque de ses obligations au titre du Contrat résultant d'un cas de force majeure. Si MintT est affectée par un cas de force majeure, elle doit aviser dès que possible le Client de la nature, la gravité et l'incidence probable sur la capacité de MintT d'exécuter ses obligations en vertu du Contrat. Nonobstant ce qui précède, MintT déploiera tous les efforts raisonnables pour continuer à exécuter ses obligations en vertu du Contrat pendant la durée du cas de force majeure.

Annexes

LISTE DES ANNEXES :

A. ANNEXE A – NOTICE D’INFORMATION ADMINISTRATEUR

B. ANNEXE B – CONTRAT DE SOUS-TRAITANCE

ANNEXE A – NOTICE D’INFORMATION ADMINISTRATEUR

MintT – Notice d’information relative à la protection des données à destination de l’administrateur de la plateforme MyISA

1. Introduction. La présente notice d’information relative à la protection des données (la « Notice ») a pour objet de vous informer sur la manière dont MintT SA (société de droit belge, dont le siège social est établi à Avenue Louise 251, 1000 Bruxelles, inscrite à la Banque carrefour des entreprises sous le numéro 0544.636.885, « MintT ») traite certaines données personnelles vous concernant en tant que gestionnaire de la plateforme MyISA.

2. Responsable du traitement. MintT est responsable des traitements de vos données personnelles tels que décrits dans la présente Notice.

3. Catégories de données personnelles traitées. Les données personnelles collectées et traitées comprennent les données suivantes : nom, prénom, nom de l’employeur ; nom d’utilisateur (adresse e-mail) et mot de passe ; logs d’accès et de modifications ; et droits d’accès et de modifications.

4. Finalités du traitement. Les Données personnelles sont traitées aux fins de gestion et d’administration des accès à la plateforme MyISA (dans la mesure où vous êtes le gestionnaire désigné par votre employeur).

5. Justification du traitement. MintT se base sur ses intérêts légitimes pour effectuer le traitement (à savoir, exécuter ses obligations contractuelles vis-à-vis de votre employeur et identifier et gérer l’administrateur désigné pour gérer la plateforme MyISA).

6. Transfert de vos données personnelles à des tiers. De façon générale, MintT ne transférera pas vos données personnelles à des tiers, excepté les transferts (i) autorisés par la loi applicable ou (ii) mentionnés dans la présente section ou ailleurs dans la présente Notice. Les données personnelles sont transférées à des fournisseurs de services externes et sous-traitants (en matière d’hébergement de données) par rapport auxquels MintT a pris les mesures appropriées pour la protection de vos données personnelles, conformément à la législation applicable, et exclusivement pour les finalités de traitement décrites dans la présente Notice. Pour autant que cela implique le transfert de vos données personnelles vers des pays en dehors de l’Espace économique européen qui ne seraient pas considérés par la Commission européenne comme assurant un niveau adéquat de protection des données personnelles, MintT veillera à ce que des mesures soient mises en place conformément à la législation applicable, telles que la signature de clauses contractuelles standards de la Commission européenne.

7. Sécurité. MintT a mis en place les mesures techniques et organisationnelles appropriées afin de protéger vos données personnelles contre la destruction accidentelle ou non autorisée, la perte, la modification, la détérioration, l’usage, l’accès, la divulgation ou tout autre traitement illicite ou non autorisé. Pour garantir cette sécurité, MintT utilise notamment le cryptage de la communication entre les serveurs.

8. Durée de conservation des données personnelles. MintT effacera vos données personnelles à l’expiration d’un délai de maximum six mois après (i) la fin de votre désignation comme administrateur par votre employeur ou (ii) la désactivation des services de la plateforme MyISA au sein de l’établissement de votre employeur.

9. Vos droits. Vous avez le droit d’accéder à vos données personnelles, telles que collectées et traitées par MintT et d’en solliciter la rectification en cas d’inexactitude ou la suppression dans certains cas limités ou dans l’éventualité où elles seraient non nécessaires. De façon générale, vous avez également le droit de retirer votre consentement à tout moment lorsqu’un traitement est fondé sur votre consentement. Ce retrait de consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. Dans certains cas, vous avez également le droit à la portabilité de vos données personnelles. Vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre de l’Union européenne dans lequel se trouve votre résidence habituelle, votre lieu de travail ou le lieu où la violation aurait été commise, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation de la législation applicable. Pour exercer vos droits, il vous suffit de (i) vous adresser à votre employeur qui fera suivre votre demande à MintT, (ii) prendre contact avec MintT en envoyant une demande écrite et signée à MintT à l’adresse e-mail privacy@mintt.care ou à l’adresse postale MintT SA – Avenue Louise 251, 1000 Bruxelles, Belgique, avec une copie de votre carte d’identité ou tout autre document prouvant que vous êtes la personne concernée par les données personnelles.

10. Contacts. MintT SA – Avenue Louise 251, 1000 Bruxelles, Belgique - E-mail: privacy@mintt.care.

Délégué à la Protection des Données (DPO): The Privacy Office, Hochstrasse 81, 4700 Eupen, Belgique - Email : mailto: DPO@mintt.care

ANNEXE B – CONTRAT DE SOUS-TRAITANCE

Clauses contractuelles entre responsables du traitement et sous-traitants au titre de l’article 28, par. 7 du RGPD

SECTION I

Clause 1 - Objet et champ d’application

a) Les présentes clauses contractuelles types (ci-après les «clauses») ont pour objet de garantir la conformité avec l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

b) Les responsables du traitement et les sous-traitants énumérés à l’annexe I ont accepté ces clauses afin de garantir le respect des dispositions de l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679.

c) Les présentes clauses s’appliquent au traitement des données à caractère personnel tel que décrit à l’annexe II.

d) Les annexes I à IV font partie intégrante des clauses.

e) Les présentes clauses sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679.

f) Les clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

Clause 2 - Invariabilité des clauses

a) Les parties s’engagent à ne pas modifier les clauses, sauf en ce qui concerne l’ajout d’informations aux annexes ou la mise à jour des informations qui y figurent.

b) Les parties ne sont pour autant pas empêchées d’inclure les clauses contractuelles types définies dans les présentes clauses dans un contrat plus large, ni d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

Clause 3 - Interpretation

a) Lorsque des termes définis respectivement dans le règlement (UE) 2016/679 ou dans le règlement (UE) 2018/1725 figurent dans les clauses, ils s’entendent comme dans le règlement en question.

b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 respectivement.

c) Tes présentes clauses ne doivent pas être interprétées d’une manière contraire aux droits et obligations prévus par le règlement (UE) 2016/679 ou d’une manière qui porte atteinte aux libertés ou droits fondamentaux des personnes concernées.

Clause 4 - Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.

[Clause 5 - Facultative (non retenue)]

SECTION II - OBLIGATIONS DES PARTIES

Clause 6 - Description du ou des traitements

Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés à l’annexe II.

Clause 7 - Obligations des parties

7.1. Instructions

a) Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

b) Te sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

7.2. Limitation de la finalité

Le sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’annexe II, sauf instruction complémentaire du responsable du traitement.

7.3. Durée du traitement des données à caractère personnel

Le traitement par le sous-traitant n’a lieu que pendant la durée précisée à l’annexe II.

7.4. Sécurité du traitement

a) Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe III pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

b) Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

7.5. Données sensibles

Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), le sous-traitant applique des limitations spécifiques et/ou des garanties supplémentaires.

7.6. Documentation et conformité

a) Les parties doivent pouvoir démontrer la conformité avec les présentes clauses.

b) Le sous-traitant traite de manière rapide et adéquate les demandes du responsable du traitement concernant le traitement des données conformément aux présentes clauses.

c) Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du règlement (UE) 2016/679. À la demande du responsable du traitement, le sous-traitant permet également la réalisation d’audits des activités de traitement couvertes par les présentes clauses et y contribue, à intervalles raisonnables ou en présence d’indices de non-conformité. Lorsqu’il décide d’un examen ou d’un audit, le responsable du traitement peut tenir compte des certifications pertinentes en possession du sous-traitant.

d) Le responsable du traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du sous-traitant et sont, le cas échéant, effectués moyennant un préavis raisonnable.

e) Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.

7.7. Recours à des sous-traitants ultérieurs

a) Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue reprise à l’Annexe IV. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins un mois à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

b) Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses. Le sous-traitant veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

c) À la demande du responsable du traitement, le sous-traitant lui fournit une copie de ce contrat conclu avec le sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le sous-traitant peut expurger le texte du contrat avant d’en diffuser une copie.

d) Le sous-traitant demeure pleinement responsable, à l’égard du responsable du traitement, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. Le sous-traitant informe le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

e) Le sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le responsable du traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

7.8. Transferts internationaux

a) Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le sous-traitant est soumis et s’effectue conformément au chapitre V du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725.

b) Le responsable du traitement convient que lorsque le sous-traitant recrute un sous-traitant ultérieur conformément à la clause 7.7 pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.

Clause 8 - Assistance au responsable du traitement

a) Le sous-traitant informe sans délai le responsable du traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le responsable du traitement des données ne l’y ait autorisé.

b) Le sous-traitant prête assistance au responsable du traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. Dans l’exécution de ses obligations conformément aux points a) et b), le sous-traitant se conforme aux instructions du responsable du traitement.

c) Outre l’obligation incombant au sous-traitant d’assister le responsable du traitement en vertu de la clause 8, point b), le sous-traitant aide en outre le responsable du traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant:

1) L’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques;

2) L’obligation de consulter l'autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque;

3) L'obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le responsable du traitement si le sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes;

4) Les obligations prévues à l’article 32 du règlement (UE) 2016/679.

d) Les parties définissent à l’annexe III les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu de prêter assistance au responsable du traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de l’assistance requise.

Clause 9 - Notification de violations de données à caractère personnel

En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679 ou des articles 34 et 35 du règlement (UE) 2018/1725, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.

9.1. Violation de données en rapport avec des données traitées par le responsable du traitement

En cas de violation de données à caractère personnel en rapport avec des données traitées par le responsable du traitement, le sous-traitant prête assistance au responsable du traitement:

a) aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le responsable du traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques);

b) aux fins de l’obtention des informations suivantes qui, conformément à l’article 33, paragraphe 3, du règlement (UE) 2016/679, doivent figurer dans la notification du responsable du traitement, et inclure, au moins:

1) la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

2) les conséquences probables de la violation de données à caractère personnel;

3) les mesures prises ou les mesures que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais;

c) aux fins de la satisfaction, conformément à l’article 34 du règlement (UE) 2016/679, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

9.2. Violation de données en rapport avec des données traitées par le sous-traitant

En cas de violation de données à caractère personnel en rapport avec des données traitées par le sous-traitant, celui-ci en informe le responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins:

a) une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés);

b) les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel;

c) ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Les parties définissent à l’annexe III tous les autres éléments que le sous-traitant doit communiquer lorsqu’il prête assistance au responsable du traitement aux fins de la satisfaction des obligations incombant à ce dernier en vertu des articles 33 et 34 du règlement (UE) 2016/679.

SECTION III - DISPOSITIONS FINALES

Clause 10 - Non-respect des clauses et résiliation

a) Sans préjudice des dispositions du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, en cas de manquement du sous-traitant aux obligations qui lui incombent en vertu des présentes clauses, le responsable du traitement peut donner instruction au sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes clauses ou jusqu’à ce que le contrat soit résilié. Le sous-traitant informe rapidement le responsable du traitement s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.

b) Le responsable du traitement est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si:

1) le traitement de données à caractère personnel par le sous-traitant a été suspendu par le responsable du traitement conformément au point a) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

2) le sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725;

3) le sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.

c) Le sous-traitant est en droit de résilier le contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences juridiques applicables conformément à la clause 7.1, point b), le responsable du traitement insiste pour que ses instructions soient suivies.

d) À la suite de la résiliation du contrat, le sous-traitant supprime, selon le choix du responsable du traitement, toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifie auprès de celui-ci qu’il a procédé à cette suppression, ou renvoie toutes les données à caractère personnel au responsable du traitement et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. Le sous-traitant continue de veiller à la conformité aux présentes clauses jusqu’à la suppression ou à la restitution des données.

ANNEXE I - Liste des parties

Responsable du traitement :

Identité et coordonnées du responsable du traitemant et, le cas échéant, du délégué à la protection des données, reprises dans le formulaire de pré-installation de l'Offre signée.

Sous-traitant :

MintT SA, une société de droit belge dont le siège social est établi Avenue Louise 251, 1000 Bruxelles, Belgique et inscrite auprès de la Banque Carrefour des Entreprises sous le numéro 0544.636.885

Délégué à la protection des données: The Privacy Office, Hochstrasse 81, 4700 Eupen, Belgique - Email: DPO@mintt.care

Nom, fonction et coordonnées de la personne de contact: Sabine Mersch - TPO <sme@tpo.solutions>

ANNEXE II - Description du traitement

Catégories de personnes concernées dont les données à caractère personnel sont traitées :

Membres du personnel du Client utilisateurs de l’interface, résidents et/ou patients, visiteurs

Catégories de données à caractère personnel traitées :

Relatives aux membres du personnel du Client utilisateurs de l’interface : nom, prénom, adresse email professionnelle, logs d’utilisation de l’interface,
Relatives aux résidents et/ou patients : données 3D
Relatives aux visiteurs : données 3D

Les données sensibles traitées (le cas échéant) et les limitations ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, la limitation stricte de la finalité, les restrictions des accès (y compris l’accès réservé uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires : Non applicable.

Nature du traitement :

Capture des données brutes des capteurs, transformation en données 3D, enregistrement des données 3D, consultation pour les besoins de la modération et de l’annotation, mise à disposition du client, anonymisation.

Finalité(s) pour laquelle (lesquelles) les données à caractère personnel sont traitées pour le compte du responsable du traitement :

Gestion et administration des accès des utilisateurs, support de la plateforme et maintenance des capteurs, génération des données 3D, détection des événements, notification des événements, modération des événements, vérification de la modération des événements, notification d’alertes, gestion d’une alerte, acquittement d’une alerte, acquittement de l’intervention, visionnage d’images en temps réel

Durée du traitement :

Un mois.

Pour le traitement par les sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement :

Digital Ocean : Conservation des données 3D et des logs. Les données sont traitées pendant une durée d’un mois à partir de la capture.

Ecritel : Conservation selon la norme HDS des données 3D et des logs. Les données sont traitées pendant une durée d’un mois à partir de la capture.

ANNEXE III - Mesures techniques et organisationnelles, y compris mesures techniques et organisationnelles visant à garantir la sécurité des données

1. Contrôle de l'organisation

Le sous-traitant (MintT SA) a mis en œuvre et maintien des mesures techniques et organisationnelles appropriées pour empêcher le traitement non autorisé ou illégal des données à caractère personnel et la perte ou la destruction accidentelle des données à caractère personnel, ou leur endommagement.

1.1. Politiques et procédures

Le sous-traitant (MintT SA) a adopté et mis en œuvre des politiques et des normes relatives à la sécurité des informations.

Mesures individuelles :

Compilation, mise à jour et mise en œuvre de lignes directrices sur le traitement des données personnelles.
L'organisation dispose d'une charte de sécurité

1.2. Sensibilisation et formation

Tous les membres du personnel (employés et sous-traitants) suivent une formation annuelle obligatoire sur la sécurité de l'information et la confidentialité des données.

Mesures individuelles :

Des séances d'information sur la protection des données sont organisées
Des informations sont régulièrement envoyées sur les nouveaux processus de protection des données qui sont importants pour les utilisateurs respectifs en fonction de leur rôle.
Des séances d'information sur la sécurité des données sont organisées
La sécurité est régulièrement portée à l'attention du personnel par le biais de rappels par e-mail.

1.3. Sécurité des ressources humaines

Tous les membres du personnel signent un accord de confidentialité.

Mesures individuelles :

• Le personnel a signé son contrat de travail contenant une clause de confidentialité spécifique.

1.4. Archivage sécurisé

Tous les documents, après la période de conservation, sont archivés ou détruits conformément au calendrier de gestion et de conservation des données.

Mesures individuelles :

Un processus de gestion des archives a été défini.
Des modalités d'accès spécifiques aux données archivées ont été mises en place, du fait que l'utilisation d'une archive se fait de manière spécifique et exceptionnelle.
Les archives obsolètes sont détruites de manière sécurisée.
La longévité de l'information numérique est suffisamment garantie.
Les données archivées ne sont accessibles qu'à un service spécifique chargé d'y accéder.

1.5. Suppression/destruction des données

Les documents et les enregistrements ne sont pas conservés plus longtemps que nécessaire. Les documents et enregistrements sont détruits après la période de conservation de manière à ne pas enfreindre les exigences réglementaires.

Mesures individuelles :

Une procédure de destruction sécurisée des données, incluant les périodes de conservation des données, a été mise en place.
Les données sont éliminées en toute sécurité des appareils avant qu'ils ne soient mis au rebut ou envoyés à un tiers pour réparation ou à la fin du contrat de location.
Nous utilisons uniquement des logiciels dédiés à la suppression des données qui ont été audités ou certifiés.

2. Contrôle d'accès logique

Le sous-traitant (MintT SA) a mis en place des procédures pour empêcher tout accès non autorisé aux données personnelles. L'accès aux systèmes d'information est basé sur les principes du "moindre privilège" et du "besoin de savoir".

2.1. Politiques et procédures

Le sous-traitant (MintT SA) a établi une politique de contrôle d'accès, ainsi que des processus, objectifs et procédures connexes pertinents pour la gestion des risques et l'amélioration de la sécurité de l'information afin de produire des résultats conformes à nos politiques et objectifs généraux.

Mesures individuelles :

Une politique de contrôle d'accès a été établie, comprenant le but, le public, les objectifs.
Cette politique de contrôle d'accès comprend les procédures, les conséquences prévues pour les individus et les mesures de sécurité.
La politique de contrôle d'accès est revue régulièrement, au moins une fois par an.

2.2. Séparation des données

Le sous-traitant (MintT SA) identifie, classifie, étiquette, traite les données et applique des mécanismes de protection des données adaptés au niveau de confidentialité et de sensibilité.

Étapes individuelles :

Plusieurs classes d'informations différentes ont été définies
Les documents et les e-mails contenant des données confidentielles sont spécifiquement marqués.
Obligation de placer un avis visible et explicite sur chaque page des documents papier ou électroniques contenant des données sensibles, conformément à l'art. 9 GDPR
Les serveurs hébergeant les bases de données ne sont pas utilisés pour d'autres fonctions, notamment pour naviguer sur des sites web, accéder à des messageries électroniques, etc.
Les bases de données ne sont pas conservées dans des endroits accessibles au public comme des dossiers web, une partition temporaire, etc.
Tous les systèmes traitant des données sensibles au sens de l'article 9 du GDPR sont mis en place dans un environnement dédié (isolé).

2.3. Gestion de l'accès des utilisateurs

Le sous-traitant (MintT SA) accorde des privilèges d'accès aux systèmes d'information sur la base des principes du " besoin de savoir " et du " moindre privilège ".

Étapes individuelles :

Les utilisateurs doivent s'authentifier avant de pouvoir accéder aux données personnelles.
Des identifiants individuels sont associés aux utilisateurs et les identifiants d'accès partagés sont limités. Si cela est inévitable, les identifiants d'accès partagés doivent être approuvés par la direction et enregistrés le cas échéant.
Dans les systèmes, les tâches et les domaines de responsabilité sont séparés afin de limiter l'accès des utilisateurs aux seules données strictement nécessaires à l'accomplissement de leur travail.
Un utilisateur est immédiatement supprimé s'il n'est plus autorisé à accéder à une salle ou à une ressource informatique, et/ou lorsqu'il quitte l'organisation.
Une révision annuelle des droits d'accès est effectuée afin d'identifier et de supprimer les comptes non utilisés et de réaligner les droits et le rôle de chaque utilisateur.
Seules les personnes qualifiées sont autorisées à accéder aux outils et aux interfaces d'administration.
L'accès est fourni aux utilisateurs sur la base du concept de moindre privilège.
Les opérations d'administration du serveur doivent être effectuées via un service dédié ou un service terminal qui nécessite une authentification forte
L'accès physique et logique aux ports de diagnostic et de configuration doit être contrôlé.
Des mesures appropriées sont en place pour assurer l'administration sécurisée des systèmes informatiques et des serveurs Active Directory en particulier.
L'utilisation des comptes administrateurs est limitée aux équipes en charge de l'informatique.

2.4. Gestion des mots de passe

The processor (MintT SA) has put in place the following procedures to prevent unauthorised access to personal data. Le sous-traitant (MintT SA) a mis en place les procédures suivantes pour empêcher tout accès non autorisé aux données personnelles.

Mesures individuelles :

Mintt se conforme aux recommandations de la CNIL en matière de mots de passe notamment lors du premier accès ou suite à une réinitialisation du mot de passe.
Lors de l'activation de l'application, il faut changer les mots de passe par défaut et désactiver les comptes par défaut.
Utilisation de politiques exigeant certains critères pour la création de mots de passe, comme la longueur des caractères, les caractères, etc.
Politique de mot de passe spécifique pour les administrateurs.
Changement des mots de passe lorsqu'un administrateur quitte l'organisation ou en cas de suspicion de compromission.
Chaque application dispose d'un compte distinct.

2.5. Gestion des vulnérabilités

Les vulnérabilités sont correctement identifiées, détectées, classées et hiérarchisées, et font l'objet d'une remédiation, d'une validation et d'une surveillance continue.

Mesures individuelles :

La fonction "installer les mises à jour automatiquement" pour tous les systèmes d'exploitation critiques et toujours activée.
Protection contre les attaques sur les bases de données via l'injection de code SQL, de scripts.
Des systèmes de détection et de prévention des attaques sur les systèmes ou serveurs critiques sont également utilisés.

2.6. Contrôles de confidentialité

L'organisation collecte, utilise, stocke, partage et protège les informations personnelles dans le cadre des services qu'elle propose.

Démarches individuelles :

Le consentement est recueilli auprès des personnes si des cookies, autres que ceux strictement nécessaires, sont utilisés.
Les données personnelles ne sont pas transmises via une URL telles que des identifiants ou des mots de passe.

2.7. Gestion des actifs

Les actifs de l'organisation sont inventoriés, classés en fonction de leur sensibilité et un propriétaire de l'information est attribué.

Mesures individuelles :

Limitation du nombre de composants mis en œuvre. Les composants sont surveillés et mis à jour.

3. Enregistrement des accès

L'accès aux actifs de l'organisation est surveillé afin de détecter les violations des politiques de sécurité informatique et d'enregistrer les événements ou autres incidents de sécurité.

3.1. Journalisation et surveillance

L'organisation enregistre et examine toute activité significative sur tous ses systèmes d'information.

Mesures individuelles :

Un système de journalisation est en place basée sur les "Recommandations de sécurité pour la mise en œuvre d'un système de journalisation" de l’ANSSI.
Information et consultation prioritaire des représentants du personnel, en particulier ceux dont les activités sont journalisées
Procédures décrivant comment les accès aux données doivent être journalisés et examinez régulièrement les journaux afin de détecter d'éventuelles anomalies.
Interdiction d'utiliser les informations des journaux à d'autres fins que la garantie de la bonne utilisation des informations traitées.

4. Système de gestion des incidents de sécurité

Le sous-traitant (MintT SA) suit le système de gestion des incidents de sécurité pour minimiser les dommages causés par les incidents de sécurité de l'information et pour surveiller et tirer des leçons des incidents de sécurité de l'information.

4.1. Politiques et procédures

Le sous-traitant (MintT SA) dispose de processus pour découvrir, gérer et prévenir les incidents futurs.

Mesures individuelles :

Utilisation des procédures définies pour notifier l'autorité de protection des données de toute violation associée à la sécurité des données.

4.2. Réponse aux incidents

Le sous-traitant (MintT SA) a élaboré, établi et révisé régulièrement un plan efficace de réponse aux incidents qui spécifie clairement les rôles, les responsabilités et les activités qui doivent être suivis lors de la réponse à un incident de sécurité des informations.

Étapes individuelles :

Informer le responsable du traitement des données dès que possible, en cas d'anomalie ou d'incident de sécurité.
Une fois qu'un événement de sécurité a été signalé et enregistré, il est évalué afin de déterminer la meilleure marche à suivre.
Politique de gestion des incidents et des violations de données personnelles et sensibilisation des utilisateurs sur ce qu'ils doivent faire en cas d'incident de sécurité.
En cas d'incident de sécurité, les mesures spécifiées par le CERT-FR sont appliquées. Attribution des propriétaires, des actions claires du dispositif, des échelles de temps pour un événement ou un incident de sécurité de l'information.

5. Contrôle de la divulgation

Le sous-traitant (MintT SA) a mis en place des contrôles pour assurer la protection des informations échangées contre l'interception, la copie, la modification, le mauvais acheminement et la destruction.

5.1. Politiques et procédures

L'organisation a établi, documenté, revoit régulièrement et met à jour les politiques visant à assurer la protection des informations dans les réseaux et les installations de traitement des informations qui les soutiennent.

Mesures individuelles :

Une politique qui rend obligatoire la mise à jour régulière des logiciels et la gestion des correctifs a été établie et mise en œuvre.

5.2. Contrôle de la divulgation

L'organisme assure le fonctionnement correct et sûr des installations de traitement de l'information, la protection de l'intégrité des logiciels et la garantie de la confidentialité et de l'intégrité des communications électroniques.

Mesures individuelles :

Les postes de travail se déconnectent automatiquement d'une session après une durée d'inactivité déterminée afin d'empêcher tout accès non autorisé.
Les ports de communication autorisés sont limités à ceux nécessaires à l'utilisation correcte des applications installées sur le poste de travail.
Mise à jour régulièrement du logiciel anti-virus
Les droits d'administrateur ne sont pas donnés à des utilisateurs qui n'ont pas de compétences en matière de sécurité informatique.
Les données confidentielles sont traitées et éliminées en toute sécurité.
Mise en place de mesures de protection contre le vol notamment marquage visible des équipements et de réduction de ses effets dont le verrouillage automatique et le cryptage.
Seuls les protocoles IP (Internet Protocol) nécessaires sont autorisés.

5.3. Appareils mobiles

L'organisation a pris certaines mesures de précaution pour minimiser les risques de compromission et assurer la sécurité des informations et de l'infrastructure.

Mesures individuelles :

Cadre de gestion des appareils mobiles pour assurer la sécurité du télétravail et de l'utilisation des appareils mobiles.
Désactivation de la fonction d'exécution automatique pour empêcher la diffusion, l'altération, la suppression ou la destruction non autorisées des informations contenues dans les supports.
Sensibilisation annuelle des utilisateurs aux risques spécifiques liés à l'utilisation des outils mobiles
Sauvegarde et synchronisation contrôlées des appareil mobiles, afin de se prémunir contre la perte des données stockées.
Utilisation ciblée du cryptage du disque dur des laptops.
Déconnexion automatique des smartphones d'une session après un certain temps d'inactivité afin d'empêcher tout accès non autorisé et authentification pour les déverrouiller.
Lorsqu'ils sont utilisés dans des lieux publics, utilisation d’un filtre de confidentialité sur les écrans des appareils mobiles.

5.4. Système d'exploitation

L'organisation s'assure que le système d'exploitation (OS) maintient la confidentialité, l'intégrité et la disponibilité. La sécurité du SE protège les systèmes et les données contre les menaces, les virus, les vers, etc.

Mesures individuelles :

Utilisation de systèmes d'exploitation à jour .
Installation, sans délai, des mises à jour critiques des systèmes d'exploitation avec une vérification automatique hebdomadaire.

5.5. Protection du réseau

L'organisation assure la confidentialité, l'intégrité et la disponibilité de l'infrastructure du réseau et fournit un accès contrôlé aux ressources et aux services du réseau sur la base des exigences commerciales et de sécurité.

Mesures individuelles

Limitation maximum de l'accès à Internet en bloquant les services non essentiels notamment le peer to peer, etc.
Le réseau WIFI est protégé
Utilisation d’une authentification OTP des utilisateurs
Utilisation de serveurs d'accès à distance avec accès sécurisés par VPN
Les flux de données entrants/sortants sont filtrés et limités aux flux nécessaires (configuration des pares-feux et proxy et serveurs)
Utilisation de SSH ou d’un accès physique direct aux appareils.
Les utilisateurs n’ont pas d’accès non filtré à l'Internet
Les réseaux sans fil ou wifi sont cryptés à l'aide d'un algorithme de sécurité (WPA2)
Utilisation des recommandations publiées par l'ANSSI pour la sécurisation des sites web, TLS et Wi-Fi.
Scan des périphériques réseau pour trouver les équipements réseau et leurs détails tels que l'état du périphérique, le temps de réponse et l'adresse IP.
Information des utilisateurs lorsque leur contenu est analysé.
Utilisation d’un réseau DMZ pour les serveurs accessibles depuis l'internet et de pares-feux pour séparer les réseaux.

5.6. Cryptage

L'organisation conçoit et met en œuvre des processus pour la gestion, la génération, la distribution, le stockage, l'archivage, la destruction, la révocation et le changement des clés utilisées dans les systèmes cryptographiques.

Étapes individuelles :

Utilisation du protocole TLS (remplaçant SSL) assurant le cryptage et l'authentification pour tout échange de données en ligne.
Pas d’utilisation de serveurs non sécurisés
Utilisation du protocole TLS sur tous les sites web, en utilisant uniquement la version la plus récente et en vérification de sa bonne mise en œuvre.
Toutes les pages web et tous les serveurs utilisent TLS dans leurs communications
Les supports amovibles et les appareils mobiles sont cryptés avant d'être partagés.
Utilisation d’un service de courrier électronique crypté en ligne, lors du partage de documents sensibles par courrier électronique sur base des recommandations de la fiche 17 de la CNIL.
Utilisation du protocole HTTPS garantissant la confidentialité et l'authentification du serveur destinataire pour les transferts de fichiers .
Lors de l'envoi de données par le réseau, la confidentialité des secrets (clés de cryptage, mots de passe, etc.) est renforcée par l’envoi via un canal séparé.
L'utilisation d'algorithmes à clé publique pour garantir la confidentialité et l'intégrité des communications, ainsi que l'authentification de l'expéditeur.
Protéger les clés secrètes par des droits d'accès restrictifs et un mot de passe sécurisé.
Utilisation d’une procédure de gestion des clés et de certification.
Compréhension et applications des grands principes de la cryptologie et du chiffrement définis par la CNIL doit être respecté.
Vérification de l'utilisation et validité du certificat électronique et s'assurer qu'il est valide
La solution de chiffrement utilisée : le logiciel GNU Privacy Guard qui prévoit une cryptographie asymétrique.

6. Gestion de la continuité des activités informatiques

L'organisation s'assure que les services informatiques soutenant les processus opérationnels critiques et le traitement des données à caractère personnel continueront même en cas de panne majeure.

6.1. Politiques et procédures

L'organisation s'assure que des plans documentés, des procédures de réponse et de récupération sont développés et approuvés.

Étapes individuelles :

Un plan de continuité des activités informatiques est appliqué et contient une liste des personnes concernées.
Les personnes responsables qui seront averties en cas d'incidents de cybersécurité sont identifiées
Le plan de gestion de la continuité des activités tient compte des directives publiées par le SGDSN.

6.2. Sauvegarde

L'organisation assure la sauvegarde et la restauration des données critiques de l'entreprise et des données personnelles afin de maintenir la disponibilité et l'intégrité des données en cas d'interruption de l'activité.

Mesures individuelles :

Les données ne sont pas stockées sur le poste de travail
L’utilisation des services cloud installés par défaut sur un appareil comme outil de sauvegarde ou de synchronisation est interdite.
Les sauvegardes incrémentales quotidiennement et des sauvegardes complètes à intervalles réguliers sont effectuée et vérifiées.
Les données de sauvegarde sont protégées avec les mêmes contrôles rigoureux que ceux utilisés pour protéger la base de données elle-même.
Lorsque les sauvegardes sont envoyées via le réseau, elles sont cryptées ainsi que leur canal de transmission.
Les sauvegardes de données sont stockées dans des endroits différents.
Les plans de sauvegarde et la restauration des données sauvegardées sont testés régulièrement.
Utilisation d’un stockage redondant et d’une technologie de virtualisation du stockage des données( RAID), pour de meilleures performances et une meilleure disponibilité.

6.3. Contrôles de la gestion de la continuité des activités informatiques

L'organisation met en œuvre des contrôles pour faciliter la gestion de la continuité des activités informatiques afin de garantir la résilience des actifs et des services.

Mesures individuelles :

Alimentation électrique de secours en place afin d’assurer une protection complète des équipements informatiques critiques.

7. Gestion des risques liés à la chaîne d'approvisionnement

Toutes les relations contractuelles et/ou commerciales avec des tiers ayant accès aux informations ou aux installations de traitement de l'information de l'organisation comprennent des dispositions convenues en matière de sécurité de l'information afin de garantir la conformité aux exigences de l'organisation en la matière.

7.1. Politiques et procédures

L'organisation a élaboré et établi des politiques et des procédures de gestion des risques liés à la chaîne d'approvisionnement.

Mesures individuelles :

Enregistrement de tous les travaux de maintenance dans un registre
Clause de sécurité dans les contrats de maintenance conclus avec les prestataires de services
Signature d’un contrat (DPA) avec les sous-traitants, qui définit le sujet, la durée et la finalité du traitement et les obligations de chaque partie.
Le contrat comporte des clauses de confidentialité des données partagées avec les tiers et les sous-traitants.
Les contrats comportent les clauses sur les normes minimales en matière d'authentification des utilisateurs.
Le contrat contient également des dispositions relatives à la restitution des données et/ou à leur destruction à la fin du contrat.
Le contrat contient des règles de gestion et de notification des incidents.
Le contrat contient les obligations du sous-traitant de l'article 28 du GDPR.
Vérification de la présence de garantie sur la localisation géographique réelle des données ou sans s'assurer de la légitimité des transferts de données en dehors de l'Espace économique européen.
Procédure de certification iso 27001 en cours d’implémentation et suivi des réglementations nationales spécifiques.

7.2. Contrôles de sécurité

L'organisation s'assure que les fournisseurs ont mis en place des niveaux acceptables de protection des données et de sécurité des informations pour protéger et maintenir la confidentialité, l'intégrité et la disponibilité des informations.

Mesures individuelles :

Responsable identifié qui gère les tiers et supervise leur travail
Vérification des politiques de sécurité informatique des prestataires de service avant de signer un contrat avec eux.
Vérification du cryptage des données en fonction de leur sensibilité ou, au moins, la mise en œuvre des procédures ou des technologies en place.
Audit du cryptage des transmissions de données (ex : connexion de type HTTPS, VPN, etc.).
Audit des contrôles de sécurité du réseau, les journaux et audits d'accès, le provisionnement et le déprovisionnement des accès, l'authentification, la gestion des accès aux privilèges, etc.
Vérification de la conformité à l'article 28 du GDPR - Obligations du sous-traitant

8. Contrôle d'accès physique

The organisation uses industry best practices to protect itself against physical and logical attacks as well as natural disasters, such as fire, earthquakes, floods, etc. L'organisation utilise les meilleures pratiques du secteur pour se protéger contre les attaques physiques et logiques ainsi que contre les catastrophes naturelles, telles que les incendies, les tremblements de terre, les inondations, etc.

8.1. Contrôles de sécurité physique

L'organisation a mis en place des contrôles adéquats pour la protection des actifs, des systèmes d'information et des employés contre les menaces physiques et environnementales.

Mesures individuelles :

Installation et vérification régulièrement les alarmes anti-effraction
Installation des détecteurs de fumée et des équipements de lutte contre l'incendie, vérification une fois par an.
Sécurisation des clés et les codes permettant l'accès aux locaux.
Une analyse des risques des zones du bâtiment est effectuée
Tenue et mise à jour régulière de la liste des personnes qui ont accès au bâtiment ou aux locaux.
Application des règles et méthodes de contrôle de l'accès des visiteurs, les visiteurs sont accompagnés en dehors de la zone d'accueil du public par une personne de votre organisation.
Protection des équipements informatiques par un système de prévention des incendies, une alimentation électrique ininterrompue, un système de climatisation, un contrôleur d'humidité.
Entretien annuel de la climatisation et des onduleurs.
Seul le personnel autorisé a accès aux zones restreintes.
Réévaluation et mise à jour régulièrement des droits d'accès aux zones restreintes, en les supprimant si nécessaire.

9. Achat, développement et maintenance du matériel et des logiciels

L'organisation s'assure que les exigences de sécurité sont identifiées et convenues avant - et que des contrôles de sécurité de l'information appropriés sont en place pendant - l'achat, le développement et la maintenance du matériel et des logiciels.

9.1. Sécurité des applications

La planification des systèmes est effectuée et les exigences ont été définies avant la sélection, le développement, le déploiement et la mise en œuvre de tout système informatique.

Mesures individuelles :

Les mises à jour de sécurité automatiques sont activées et effectuées automatiquement.
Interdiction du téléchargement/ l'installation d'applications à partir de l'internet ou de sources non sûres.
Contrôle de sécurité des logiciels et du matériel utilisés dans le système informatique de l'organisation.
Les applications sont mises à jour lorsque des failles de sécurité critiques ont été identifiées et corrigées.

9.2. Développement de logiciels sécurisés

L'organisation a établi un cycle de vie de développement de logiciels sécurisés (SSDLC) pour la planification, l'analyse des besoins, la conception, le développement et les tests.

Étapes individuelles :

Le respect de la vie privée et la sécurité est intégré dès la conception lors du développement des applications, ce qui influence le choix de l'architecture (décentralisée ou centralisée), des fonctionnalités (anonymisation rapide, minimisation des données), des technologies (cryptage), etc.
Minimisation des entrées de texte libre ou les zones de commentaires lors du développement d'applications et de services.
Le développement et les tests des logiciels sont effectués dans un environnement informatique séparé de l'environnement de production. Utilisation des données fictives ou anonymes.
Utilisation des données personnelles fictives lors des phases de développement et de test.
Respect de la sécurité dès la conception ou le cycle de vie des logiciels sécurisés (SSDLC) lors du développement des applications.
Lors du développement de logiciels, la priorité est donnée aux techniques d'acquisition et d'enregistrement des données minimisant la collecte de données
Les formats de données sont adaptés avec la période de conservation choisie.
Des profils d'utilisateurs sont créés lors du développement des applications.
L'article de la CNIL sur les entrées de texte libre et les zones de commentaires sont consulté lors du développement des applications.
En fonction de l'application, utilisation des signatures dans le code exécutable garantissant qu'aucune modification n'a été apportée au code.

ANNEXE IV - List of sub-processors

1. Digital Ocean LLC, société constituée et existant en vertu des lois de l'État de New York, ayant son siège social établi à 101 Avenue of the Americas, 10th Floor, New York, NY 10013.

Contact: https://www.digitalocean.com/support/

Description du traitement : Hébergement des données.

2. Ecritel, société constituée et existant en vertu des lois Françaises, ayant son siège social établi à 84 rue Villeneuve, 92110 Clichy, France, et enregistrée auprès du RCS Nanterre sous le numéro d’entreprise 332 484 021, Siret 332 484 021 000 99.

Contact: https://www.ecritel.fr/fr/solutions/ecritel-medical-hosting-hds/

Description du traitement : Hébergement des données.

Avez vous une question pour nous ?

N'hésitez pas à nous contacter. Nous répondrons à vos questions avec plaisir.

Posez vos questions

Suivez-nous

Suivez-nous

Termes & conditions

Annexes

Suivez-nous