CEEYU CONDITIONS GENERALES

CET ACCORD EST UN CONTRAT CONTRAIGNANT ET RÉGIT L'UTILISATION ET L'ACCÈS AUX SERVICES PAR VOUS, UTILISATEURS FINAUX ET/OU REPRÉSENTANTS LÉGAUX, QUE CE SOIT DANS LE CADRE D'UN ABONNEMENT PAYANT OU D'UNE UTILISATION GRATUITE DES SERVICES CEEYU. 

En acceptant le présent Contrat, soit en accédant à un Service ou en l'utilisant, soit en autorisant ou en permettant à un utilisateur d'accéder à un Service ou de l'utiliser, soit en signant une Offre faite par CEEYU ou un Partenaire de distribution CEEYU autorisé, Vous acceptez d'être lié par le présent Contrat à compter de la date de cet accès ou de cette utilisation du Service ou de la signature de l'Offre.   Si Vous concluez le présent Contrat au nom d'une société, d'une organisation ou d'une autre entité juridique (" Client "), Vous acceptez le présent Contrat pour cette Entité et déclarez à CEEYU que vous avez le pouvoir de lier cette entité et ses affiliés au présent Contrat, auquel cas les termes " Client ", " Abonné ", " Vous " ou " Votre " dans les présentes désignent cette entité et ses affiliés. Si vous ne disposez pas d'un tel pouvoir, ou si vous n'êtes pas d'accord avec le présent Contrat, vous ne devez pas utiliser ou autoriser une quelconque utilisation des Services. 

Le Client et CEEUY sont chacun désignés comme une " Partie " et collectivement désignés comme les " Parties " aux fins du présent Accord. CEEYU est une société de droit belge sous le numéro d’entreprise 0753.427.407 dont le siège social est situé Guldensporenlaan 24, 2820 Bonheiden, Belgique.

L'objet du présent Accord est d'établir les termes et conditions selon lesquels le Client obtient les Services de CEEYU et les Services Professionnels tels que décrits dans un Ordre de Service, un Énoncé de Travail ou d'autres documents signés ou acceptés par le Client.  En cas d'incohérence ou de conflit entre les termes des Conditions Générales et les termes d'un Ordre de Service ou d'un Énoncé de Travail, les termes de l'Ordre de Service ou de l'Énoncé de Travail prévaudront.

UNIQUEMENT POUR LES ABONNEMENTS EN LIGNE - Suite à l'enregistrement/abonnement en ligne au service, CEEYU vérifie l'identité du Client dans les 10 jours calendaires suivant l'enregistrement.  CEEYU se réserve le droit de ne pas fournir le service au Client pour diverses raisons (par exemple, CEEYU soupçonne le Client d'utiliser le Service à des fins illégitimes, le Client est un concurrent direct de Ceeyu, etc). Dans ce cas, le contrat devient caduc. Ceeyu n'est pas tenu de justifier cette action auprès du Client.  Dans le cas d'un abonnement payant et dans le cas où le client a déjà payé d'avance pour cet abonnement, CEEYU remboursera les fonds dans les 14 jours calendaires.

Cet accord est valable pour les Commandes à partir du 1er janvier 2023.

1. DEFINITIONS


1.1 « Contrat »: le présent contrat et ses Annexes (y compris les Éventuelles Bons de Commande)  en relation avec le présent Contrat.

1.2 « Plateforme CEEYU »  :  www.ceeyu.io

1.3 « Domaine » : Un domaine numérique spécifique (y compris les adresses IP et autres ressources rencontrées le cas échéant) du Client ou de son Fournisseur, intégré par le Client conformément à l’article  4  « Intégration d’un Domaine » dans le but de faire évaluer son empreinte numérique, sa gestion des risques lié à son Fournisseur et/ou son score de sécurité conformément au présent Contrat.  

1.4 « Faux positifs » : Résultats qui ne concernent pas le Client

1.5 « Faux négatifs » : Résultats qui concernent le Client mais ne sont pas détectés par l’outil d’analyse.

1.6 « Force Majeure »: la situation dans laquelle l’une des Parties est entravée dans son exécution du Contrat, en tout ou en partie et temporairement ou définitivement, d’une manière échappant à son contrôle ou au contrôle des Parties. De manière non limitative, les événements suivants seront considérés comme constituant un cas de force majeure : décision gouvernementale, acte ou omission (par exemple, retard, défaut de délivrance ou retrait de toute licence, permis ou autorisation), guerre déclarée ou non, embargo, hostilités, acte de l’ennemi public, émeutes, attaques terroristes, grèves, problèmes généraux de transport, agitation civile, sabotage, catastrophes naturelles, conditions météorologiques défavorables, tremblements de terre, incendie, inondation, orage, ouragans, explosions, épidémies, restrictions liées à la quarantaine, perturbation des approvisionnements provenant de sources normalement fiables (par exemple, électricité, eau, carburant, etc.), pannes de courant, pannes d’Internet et de réseaux informatiques ou d’installations de télécommunication, indisponibilité de serveurs de tiers, défaillances d’équipements, de biens, de logiciels, de matériel ou d’autres matériaux de tiers dont le Client prescrit l’utilisation à Ceeyu, défauts dans l’équipement, les biens, les logiciels, le matériel ou autres matériaux tiers, piratage, attaques par déni de service (distribué), virus, retard ou défaillance d’un sous-traitant ou d’un fournisseur tiers en raison d’un cas de force majeure tel que défini ci-dessus.

1.7 « Commande » : une commande passée par le Client dans le but de recevoir les services décrits dans le présent Contrat. Une commande peut être passée par la signature d'un bon de commande par les deux parties, par l'acceptation par le client d'un devis valide de CEEYU, par e-mail à CEEYU avec référence à un devis valide ou à un niveau d'abonnement annoncé sur www.ceeyu.io/pricing, ou en ligne sur www.ceeyu.io. Les commandes peuvent être passées directement auprès de CEEYU ou par l'intermédiaire d'un partenaire commercial agréé de CEEYU. 
1.8 « Fournisseur » : un tiers au présent Contrat, qui est intégré par le Client en vertu du présent Contrat. 

2. CONTEXTE

2.1 CEEYU est une entreprise active dans la sécurité des TIC, plus précisément dans le domaine des empreintes numériques et de l’analyse de leurs conséquences en matière de sécurité pour les entreprises. CEEYU fournit à ses clients un aperçu clair et concis de leur empreinte numérique ou de celle de leurs fournisseurs, des conséquences en matière de sécurité sous la forme d’une évaluation de sécurité, et permet aux clients d’évaluer les risques liés aux Fournisseurs, sur la base d’une évaluation de sécurité. 

2.2 L’empreinte numérique de votre entreprise est l’ensemble des données, disponibles sur Internet, qui définissent la présence de votre entreprise sur ce support. Il est composé des domaines, sous-domaines, applications, systèmes de messagerie, Web, applications, et de toute autre activité de marque. Mais aussi des noms et adresses e-mail, adresses physiques, et toute autre information ou donnée personnellement identifiable liée à votre entreprise, marque ou employés. Votre empreinte peut non seulement révéler des données à caractère personnel mais aussi divulguer des failles techniques de sécurité permettant à des tiers malveillants de les exploiter ou de les utiliser pour les intégrer dans des attaques plus sophistiquées.

2.3 L’évaluation de sécurité est une quantification allant de A à F, ou exprimée en pourcentages ou autre échelle définie par CEEYU, basée sur le calcul effectué relatif à votre empreinte numérique. Il s’agit d’une indication objective du niveau de sécurité externe de votre entreprise. 

2.4 La gestion des risques des Fournisseurs vous permet, grâce aux évaluations de sécurité objectives et à un questionnaire d’auto-évaluation, d’identifier vos tierces parties les plus risquées et de travailler avec elles pour améliorer leur niveau de sécurité et ainsi réduire le risque qu’elles représentent pour votre entreprise.

3. NOS SERVICES

3.1 En vertu du présent Contrat, CEEYU exécutera et analysera des examens d’empreinte numérique afin de fournir au Client une cote de sécurité relative à ses Domaines entrant dans le champ d’application du Contrat et afin de contribuer à la Gestion par le Client des Risques de son Fournisseur (« Services »). 

3.2 L’évaluation de l’empreinte numérique implique que CEEYU fera scanner le(s) Domaine(s) au moyen d’outils automatiques, de manière éthique. CEEYU s’efforcera, au mieux de ses capacités, de ne pas intervenir dans le bon fonctionnement du ou des Domaines. Les données seront collectées passivement ou activement et de manière non intrusive (sauf demande contraire du Client, par exemple pour des analyses de vulnérabilité) par le biais de sources d’informations accessibles au public. CEEYU n’entre pas dans les réseaux d’entreprise ou d’autres zones restreintes pour collecter des données et réaliser ses évaluations de sécurité. 

3.3 CEEYU fera de son mieux pour vérifier la qualité des données afin de minimiser le nombre de Faux Positifs et de Faux Négatifs. À cette fin, CEEYU peut ajouter ou supprimer des données pertinentes pour le Client ou demander des informations supplémentaires au Client. Le Client a la possibilité de valider davantage la qualité de ses données via la plate-forme et peut s’attribuer des Faux Positifs et demander que des Faux Négatifs soient rectifiés. Le cas échéant, une (1) fois par mois, CEEYU réévaluera les Faux Positifs nouvellement assignés au Client et les Faux Négatifs et CEEYU recalculera si besoin le score de sécurité.

3.4 Le(s) Fournisseur(s) intégré(s) par le Client sera (seront) invité(s) à remplir un formulaire d’auto-évaluation en matière de sécurité. Sur la base de l’empreinte numérique et des résultats de l’auto-évaluation (le cas échéant), CEEYU fournira au Client une évaluation de sécurité de son ou ses Domaines couverts par le Contrat. Le score de sécurité est calculé en fonction de plusieurs paramètres de risque, visibles par le Client via la Plateforme. Étant donné que la notation de sécurité et les TIC en général sont des matières en constante évolution, les paramètres de sécurité pris en compte peuvent varier de temps à autre.  

3.5 Dans le cadre des Services, CEEYU permettra au Client d’accéder à la Plateforme CEEYU, conformément à l’article 5 « Utilisation de la Plateforme CEEYU ». La Plateforme CEEYU permet au Client :
(a) d’obtenir un aperçu de son empreinte numérique;
(b) de voir l’évaluation de la sécurité de cette empreinte numérique (le score de sécurité) effectuée par CEEYU ; et
(c ) d’avoir une vue d’ensemble des risques de son Fournisseur.
 

4. INTÉGRATION D’UN DOMAINE OU D’UN FOURNISSEUR

4.1 Le Client peut, à sa seule discrétion, intégrer des noms de domaine en vue de les faire évaluer et de les inclure dans la Plateforme CEEYU, en concluant un ou plusieurs Bons de commande ou en ajoutant le(s) nom(s) de domaine dans la Plateforme CEEYU.

4.2 Le Client a également la possibilité d’intégrer des Fournisseurs et de recevoir leur score de sécurité. Dans ce cas, CEEYU analysera le domaine principal du Fournisseur concerné, à l’exclusion de tout domaine supplémentaire que le Fournisseur concerné pourrait utiliser (sauf convention contraire expresse par écrit). 

4.3 Lorsque le Client intègre un Fournisseur, le Client fournit automatiquement à CEEYU l’autorisation d’informer le Fournisseur concerné qu’il a été ajouté à la Plateforme CEEYU par le Client. Lorsque le Client souhaite rester anonyme envers le Fournisseur, le Client doit l’indiquer explicitement dans la Commande. 

4.4 Les Fournisseurs intégrés auront la possibilité de voir score note de sécurité (A-F), mais ne verront pas d’informations supplémentaires, telles que leur empreinte numérique ou la base de calcul de leur évaluation de sécurité (sauf s’ils sont également clients de CEEYU). 

4.5 CEEYU affichera les informations récoltées « comme telles » et « telles que trouvées » et n’est pas responsable de l’exactitude ou de la correction de ces données ni de l’amélioration de la sécurité du Fournisseur ou du Client. 

4.6 Les Fournisseurs qui sont intégrés par le Client seront invités à remplir un formulaire d’auto-évaluation lié à la sécurité. Une fois le formulaire complété, les résultats de l’auto-évaluation du Fournisseur seront pris en compte dans l’évaluation de la sécurité. Le Client comprend la soumission de cette auto-évaluation dépend de la coopération volontaire du Fournisseur concerné et que CEEYU ne peut pas obliger le Fournisseur à participer. Le Client sera prévenu lorsqu’un Fournisseur refuse de soumettre un formulaire d’auto-évaluation. Cela ne dispensera toutefois pas le Client du paiement des frais applicables pour l’intégration du Fournisseur et la notation sera alors basée sur tous les autres éléments disponibles, tels qu’énoncés ci-dessous.

4.7 Le client ne peut effectuer des analyses actives ("Active Assessments") que sur les domaines, sous-domaines et adresses IP dont les systèmes informatiques et réseaux sous-jacents sont sous son contrôle.   Le client est entièrement responsable des dommages causés à des tiers du fait du non-respect de cette obligation.

5. UTILISATION DE LA PLATEFORME CEEYU

5.1 CEEYU a créé une application en ligne (la plateforme CEEYU) où le Client peut consulter son empreinte numérique, ses cotes de sécurité, les données dont elles sont dérivées et où le Client peut initier et examiner les évaluations des risques de ses  Fournisseurs.

5.2 CEEYU et ses concédants de licence demeurent à tout moment propriétaires de tous les droits de propriété intellectuelle relatifs à la Plateforme CEEYU. À compter du paiement des Frais d’abonnement applicables, CEEYU fournit au Client une licence temporaire, révocable, limitée, personnelle, non exclusive et mondiale pour accéder à la Plateforme CEEYU, pendant la période d’abonnement et aux fins du présent Contrat et conformément à ses dispositions.  Les périodes d’abonnement sont divisées en cycles d’un (1) an.

5.3 Les identifiants de connexion du Client seront reçus après le paiement complet des factures applicables et peuvent à tout moment être suspendus en cas de non-paiement d’une facture à sa date d’échéance.

5.4 Dans la mesure permise par la loi applicable, la Plateforme CEEYU est fournie telle quelle (« as is ») et telle que disponible (« as-available ») sans garantie d’aucune sorte, expresse ou implicite.

5.5 CEEYU se réserve le droit de modifier la Plateforme et ses fonctionnalités (par exemple, la mise en œuvre de nouvelles fonctionnalités, les possibilités de rapports, etc.) de temps en temps et de manière discrétionnaire, sans qu’une notification préalable ne soit requise, à condition que les fonctionnalités cruciales de la Plateforme soient maintenues.

Lorsqu’une fonctionnalité cruciale de la Plateforme n’est plus fournie, le Client en est informé au plus tard trois (3) mois à l’avance, par e-mail ou lettre recommandée. Lorsque le Client a des motifs raisonnables de croire que les Services qui lui sont fournis en vertu du présent Contrat seront affectés de manière négative par la suppression de ces fonctionnalités cruciales, le Client peut résilier le présent Contrat, y compris toute Commande en attente, avec un préavis d’un (1) mois par lettre recommandée adressée à CEEYU. Dans ce cas, les frais pour la durée restante seront crédités et remboursés au prorata. 

Une liste de fonctionnalités essentielles est prévue à l’Annexe 2 du présent Contrat.

6. DROITS ET OBLIGATIONS DES PARTIES 

6.1 CEEYU exécutera ses Services avec soin et diligence et dans le respect de toutes les réglementations applicables. Sauf indication contraire dans le Contrat, les obligations de CEEYU sont des obligations de moyens. CEEYU fera des interprétations justes des données découvertes et calculera avec précision le score de sécurité.  

6.2 En fournissant ses Services, CEEYU fera de son mieux pour réduire les risques de dommages potentiels.

6.3 Étant donné que les TIC sont une matière en constante croissance et évolution, CEEYU ne garantit pas que les Services seront concluant à 100% et révéleront toutes les vulnérabilités de sécurité publiquement disponibles au moment de l’évaluation. De plus, étant donné que l’empreinte numérique est créée par un outil d’évaluation automatisé, il est impossible, dans l’état actuel des techniques, de s’assurer que toutes les données sont exactes. Des Faux Positifs et des Faux Négatifs peuvent se produire. Les instructions sont fournies telles quelles (« as is ») au Client, sans aucune garantie ou condition explicite ou implicite. CEEYU décline toute garantie relative à la qualité marchande, l’adéquation à un emploi particulier ou d’absence de contrefaçon. 

6.4 Le Client assume à tout moment la responsabilité de son infrastructure existante (y compris, mais sans s’y limiter: matériel, logiciels, sites Web, bases de données, procédures de surveillance et de sécurité, gestion adéquate du système, etc.) et du bon fonctionnement et de la sécurité de tous ses matériaux de travail.

6.5 Le Client est seul responsable de la mise en place de procédures permettant la reconstruction de fichiers, données ou programmes perdus ou altérés à tout moment, quelle que soit la cause de la perte ou de l’altération. Le Client doit faire des copies de sauvegarde de ses programmes informatiques, fichiers et données, de manière quotidienne. 

6.6 Le Client est seul responsable de son utilisation des Services et ne doit pas abuser des Services.

7. CALCUL DU SCORE DE SECURITE 

7.1 À tout moment et à sa seule discrétion, CEEYU peut modifier l’algorithme de calcul des scores de sécurité et d’interprétation des formulaires d’auto-évaluation. Cette modification peut être basée sur : 
(a) Des données collectées par CEEYU pendant la période précédant la modification ; 
(b) Les développements en matière de sécurité des TIC, tels que le développement de nouvelles technologies, l’évolution des systèmes, des connaissances, etc., qui pourraient influencer les scores de sécurité ou qui permettraient de prendre en compte des (types de) données supplémentaires;
(c ) Des connaissances et expertise internes. 

7.2 Le fait que des modifications seront apportées à l’algorithme et leurs effets similaires sur les scores de sécurité et les Services de CEEYU en général, seront annoncés au Client au moins trois (3) mois à l’avance. Pendant cette période, le Client aura la possibilité de communiquer à CEEYU toute question ou tout problème pouvant survenir en relation avec les présentes. 

8. PRIX

8.1 Le Client s’engage à payer les frais tels qu’énoncés dans le devis/Commande de CEEYU conformément au Contrat.  A défaut de devis spécifique au Client, le niveau d'abonnement visé dans la Commande et les prix indiqués sur www.ceeyu.io/pricing s'appliqueront.

8.2 Une prolongation de la durée de souscription a lieu tacitement, en tenant compte du délai de préavis décrit ci-dessous.

8.3 Le modèle de tarification de CEEYU est basé sur :
- Une redevance annuelle d'abonnement (fixe et ferme) pour l'accès du Client à la Plateforme CEEYU, en fonction du nombre de Vendeurs, de Domaines et de comptes utilisateurs et du nombre de fonctionnalités optionnelles.
- Frais uniques pour la prestation de services professionnels, le cas échéant. 

8.4 CEEYU peut ajuster, sans notification préalable, les frais chaque année en janvier, sur la base de la formule suivante: Nouveau prix = Prix initial * (0,2 + 0,8 * (Nouvel indice / Indice initial)). Pour lesquels les définitions suivantes s’appliquent :
- Prix initial : prix au début du Contrat ;
- Indice initial : l’indice publié par Agoria « coût salarial moyen national de référence » du mois précédant la signature du Contrat.
- Nouvel indice : l’indice publié par Agoria « coût salarial moyen national de référence » du mois précédant l’indexation. 

8.5 Dans le cas où un ou des changements fondamentaux se produisent dans des circonstances qui affectent le prix convenu et qui étaient à la fois imprévisibles au moment de la fixation du prix et qui affectent l’équilibre contractuel, à la demande de l’une ou l’autre des Parties, les Parties se réuniront pour tenter de s’accorder sur une modification équitable du Contrat. Si les Parties ne parviennent pas à un accord dans un délai de trente (30) jours calendaires à compter de la demande de modification du Contrat, chaque Partie a le droit de résilier le Contrat en envoyant une lettre recommandée avec un préavis de trente (30) jours calendrier, et ce sans qu’elle ne soit tenue de payer aucune indemnité.

9. FACTURATION ET PAIEMENT 

9.1 Sauf convention contraire, les factures sont payables à l’avance et dans les trente (30) jours calendaires suivant la date de facturation.

9.2 L’absence de contestation écrite d’une facture dans un délai de huit (8) jours ouvrables à compter de la date d’envoi de la facture, implique l’acceptation irrévocable par le Client de la facture ainsi que des Services qui y sont mentionnés.

9.3 A partir de l’expiration du délai de paiement, des intérêts de retard conventionnels sont dus, de plein droit et sans mise en demeure préalable, égaux au taux d’intérêt annuel prévu à l’article 5 de la loi belge du 2 août 2002 concernant la lutte contre le retard de paiement dans les transactions commerciales (Wet Betalingsachterstand 02/08/2002, B.S 07/08/2002). Ces intérêts sont calculés à partir de la date limite de paiement de la facture jusqu’à la date de paiement intégral.

9.4 En cas de retard de paiement d’une facture : 
- CEEYU est en droit d’augmenter le montant de la facture de 15% à titre de compensation; 
- tous les frais, le recouvrement extrajudiciaire de la facture, ainsi que les frais de procédure judiciaire et d’exécution de celle-ci sont à la charge du Client ; 
- toutes les créances à l’encontre du Client qui ne sont pas encore exigibles sont immédiatement exigibles et payables ; et
- CEEYU a le droit de suspendre l’exécution de tous les Services sans notification préalable.
- Le Client n’a pas droit à la compensation ou à la suspension d’un paiement.
- Si, de l’avis de CEEYU, la solvabilité du Client le requiert, CEEYU peut, même après la signature du Contrat, exiger du Client qu’il fournisse une garantie ou caution pour le paiement des Services qui n’ont pas encore été fournis, et CEEYU peut suspendre l’exécution tant que cette garantie ou caution n’a pas été fournie.

10. CONFIDENTIALITÉ 

10.1 Les informations confidentielles sont définies comme toutes les informations, peu importe leur forme (orale, écrite, graphique, électronique, etc.) échangées entre les Parties dans le cadre du présent Contrat, qui sont marquées par les Parties comme étant confidentielles ou devant raisonnablement, de par leur nature, être considérées comme confidentielles.

10.2 Chaque Partie doit garder confidentielles toutes les informations confidentielles reçues de l’autre Partie dans le cadre de l’exécution du présent Contrat, sauf dans la mesure nécessaire à la fourniture des Services au Client. En outre, les Parties ne peuvent utiliser les informations confidentielles qu’aux fins du présent Contrat. Les Parties ne peuvent divulguer les informations confidentielles à des tiers sans l’accord écrit de l’autre Partie, sauf si la loi ou une ordonnance d’un tribunal ne l’exige, à condition que la Partie destinataire avise la Partie divulgatrice, dans la mesure où elle est autorisée à le faire, dès que raisonnablement possible. La divulgation sera autant que possible limitée.

10.3 L’obligation de confidentialité continuera d’exister pendant une période de trois (3) ans à compter de la fin du présent Contrat, quelle que soit la cause de la fin du Contrat.

10.4 Les informations suivantes ne sont pas considérées comme confidentielles :
(a) les informations obtenues de manière licite auprès d’un tiers non lié par une obligation de confidentialité;
(b) les information dont une Partie avait déjà connaissance avant leur divulgation dans le contexte du présent Contrat ; 
(c) les informations développées indépendamment par une Partie, sans violation du présent Contrat ; 
(d) les informations publiquement disponibles sans l’intervention ou la faute de la Partie qui les a obtenues.

11. PROTECTION DES DONNEES

11.1 Chaque Partie doit à tout moment respecter ses obligations respectives en vertu de la législation applicable en matière de protection des données, telles que, mais sans s’y limiter, le Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).  

11.2 Si une Partie traite des données à caractère personnel pour le compte de l’autre Partie, les Parties concluront un contrat de sous-traitance, qui sera annexé au présent Contrat et en fera partie intégrante.  

12. UTILISATION DE DONNÉES ANONYMES 

12.1 Les parties conviennent que CEEYU peut collecter et traiter des informations et des données anonymisées du Client et des Fournisseurs, notamment dans le but d’améliorer continuellement son algorithme et ses services, de créer des livres blancs, etc.  Le nom du Client ne sera pas mentionné et la confidentialité de ses données sera assurée.

13. DROITS DE PROPRIETE INTELLECTUELLE 

13.1 Aucun droit de propriété intellectuelle ne sera transféré à l’autre Partie en vertu du présent Contrat. CEEYU ou ses concédants de licence restent à tout moment propriétaires de tous les droits de propriété intellectuelle relatifs au matériel utilisé pour fournir les Services.

13.2 CEEYU se réserve tous les droits sur ses rapports, données, livres blancs et analyses. Tous les rapports ou documents fournis par CEEYU au Client, qu’ils soient mis à sa disposition sur papier, par téléchargement, visibles par le Client via la Plateforme CEEYU ou autrement, sont uniquement destinés à l’usage interne du Client et ne peuvent être divulgués à un tiers sans le consentement écrit préalable de CEEYU, à l’exception du Fournisseur concerné par le rapport ou auquel une note de sécurité a été attribuée.

14. RESPONSABILITÉ À L’ÉGARD DES FOURNISSEURS

14.1 Seul le Client est responsable de s’assurer que le(s) Fournisseurs intégrés par le Client accepte(nt) les évaluations de sécurité fournies par CEEYU en vertu du présent Contrat. 

14.2 CEEYU n’est pas responsable des discussions entre le Client et le(s) Fournisseur’(s) concerné(s) liées au résultat des évaluations de sécurité fournies. Sur demande raisonnable du Client, CEEYU peut accepter d’expliquer au Fournisseur concerné la base du ou des scores de sécurité effectuées. 

14.3 Si le Client décide de résilier un contrat avec le Fournisseur intégré ou de ne pas pouruivre sa coopération avec celui-ci, en relation avec ou en conséquence du score de sécurité fourni par CEEYU ou d’autres résultats reçus de CEEYU en vertu des présentes, CEEYU ne peut être tenu responsable des conséquences de cette résiliation. Le Client doit défendre CEEYU envers et l’indemniser de toutes les plaintes, réclamations, poursuites juridiques et/ou (autres) dommages que CEEYU subirait à cet égard. 

15. DUREE ET FIN 

15.1 Le présent Contrat débute à la date de sa signature par les deux Parties et reste en vigueur pour une durée indéterminée. 

15.2 En vertu et dans le cadre du présent Contrat, les Parties concluront une ou plusieurs Commandes une durée déterminée et/ou pour une certaine mission. La Commande sera automatiquement résiliée à l’expiration de la durée convenue ou lors de l’achèvement de la mission convenue, le cas échéant.

15.3 Chaque Partie peut résilier le Contrat pour convenance moyennant un préavis écrit d’un (1) mois adressé à l’autre Partie. Cette résiliation n’aura aucun effet sur toute Commande en cours.

15.4 En l'absence de résiliation préalable, le présent Contrat sera automatiquement renouvelé, à moins que les Parties n'en conviennent autrement explicitement par écrit.

15.5 Sans préjudice de ses autres droits et recours en vertu du présent Contrat et de la législation applicable, chaque Partie peut, à sa seule discrétion, suspendre l’exécution du Contrat ou le résilier de plein droit et avec effet immédiat, sans préavis et sans intervention judiciaire, par le simple envoi d’une lettre recommandée à l’autre Partie :
(a) dans le cas où l’autre Partie a demandé un report du paiement, est déclarée en faillite, dépose le bilan ou fait déposer une requête en faillite involontaire, admet son incapacité à payer ses dettes à leur échéance, voit ses actifs mis sous séquestre, a une partie importante de ses actifs saisie, a un crédit instable ou est manifestement insolvable;
(b) en cas de dissolution et/ou de liquidation de l’autre Partie ;
(c) si une partie ou la totalité des actifs de l’autre Partie sont saisis par voie d’exécution et/ou par précaution ou en cas d’autres mesures exécutives ou de protection à l’encontre des biens de l’autre Partie;
(d) en cas de preuve ou de suspicion sérieuse de fraude commise par l’autre Partie ;
(e) si l’autre Partie commet une faute grave démontrée ou commet une violation du contrat et ne remédie pas cette violation dans un délai de trente (30) jours calendaires après avoir été notifiée par lettre recommandée de cette violation par la Partie invoquant celle-ci. La prolongation du délai susmentionné pour réparation ne sera pas refusée pour des motifs déraisonnables, si la Partie en défaut a commencé à remédier à la violation au cours de ce délai de trente jours et fait des efforts raisonnables pour continuer à le faire.
À la résiliation ou à l’expiration du Contrat, toutes les sommes dues par le Client deviendront automatiquement exigibles et payables à la date effective de la résiliation ou l’expiration du Contrat et ce, même si des délais plus longs avaient été précédemment octroyés. 

16. RESPONSABILITE 

16.1 La responsabilité que CEEYU peut encourir découle d’une obligation de meilleur effort et le Client devra fournir une preuve appropriée de cette responsabilité.

16.2 Dans la mesure maximale permise par la législation applicable, la responsabilité totale de CEEYU est limitée, par année contractuelle, au plus bas des montants suivants: (1) 5000 EUR ou (2) le montant dû par le Client pour la fourniture spécifique des Services ayant donné lieu aux dommages (hors TVA). Si l’exécution des Services devait s’étaler sur plusieurs années, la responsabilité maximale de CEEYU est limitée à la valeur des montants facturés en vertu du présent Contrat pour l’exécution des Services spécifiques qui ont donné lieu aux dommages, (hors TVA) sur une période de douze (12) mois précédant jour où le dommage s’est effectivement produit. 

16.3 Le Client doit informer CEEYU par écrit de tout événement pouvant mettre en cause la responsabilité de CEEYU et de tout dommage et/ou perte subi par le Client, dans les plus brefs délais et au plus tard dans les quinze (15) jours calendaires à compter de la survenance de cet événement ou dommage, ou, au moins, à compter du moment où le Client avait connaissance ou aurait dû avoir connaissance de cet événement,  dommage ou perte. Cela permet à CEEYU de déterminer l’origine et la ou les causes du ou des dommages dans un délai raisonnable. Dans la mesure maximale permise par la législation applicable, si le Client ne fournit cette notification écrite, CEEYU se réserve le droit de refuser toute indemnisation et de rejeter toute responsabilité.

16.4 En aucun cas, CEEYU ne peut être tenu responsable (i) des dommages indirects, accessoires ou consécutifs, y compris, mais sans s’y limiter, les pertes financières ou commerciales, la perte de profit, l’augmentation des frais généraux, la perte  d’économies, la diminution de la clientèle, les dommages résultant d’une interruption des activités ou d’une interruption de l’exploitation, les dommages résultant des réclamations des clients du Client, les perturbations dans la  planification, la perte de     profit, perte de capital, perte de clients, opportunités manquées, perte de  données, perte d’avantages, ou  corruption  et/ou perte de fichiers résultant de l’exécution du présent Contrat, (ii) dommages résultant d’une faute ou d’une négligence du Client, (iii) indemnisation de dommages directs et indirects causés par l’utilisation du résultat des Services,  (iv) l’indemnisation de tout dommage direct et indirect causé en tout ou en partie par un logiciel ou du matériel fourni ou créé par des tiers, ou tout autre élément introduit dans les activités du Client après la signature du Contrat, et (v) toutes les réclamations de tiers formulées contre le Client.

16.5 Les limitations de responsabilité énoncées dans les présentes ne s’appliquent pas aux dommages causés par une fraude, une faute intentionnelle, un décès ou une blessure corporelle.

16.6 Si le Client a un litige avec un ou plusieurs Fournisseurs en relation avec les Services de CEEYU en vertu des présentes, y compris concernant le score de sécurité du Fournisseur, le Client doit défendre et indemniser CEEYU contre toutes les réclamations, demandes et dommages (directs ou indirects) de tiers de toute nature, connus et inconnus, découlant de ou liés de quelque manière que ce soit à ces litiges.

17. FORCE MAJEURE

17.1 Aucune des Parties n’est tenue de remplir une obligation si elle en est empêchée par un cas de force majeure.

17.2 Si une situation de force majeure dure plus de soixante (60) jours calendaires, chaque Partie est en droit de résilier le Contrat moyenneant un préavis notifié par écrit. Dans ce cas, toutes les prestations déjà prestées en vertu du Contrat seront réglées proportionnellement à l’état d’achèvement, sans que les Parties se doivent quoi que ce soit au-delà de cette compensation proportionnée.

18. NON-CONCURRENCE

18.1 Le Client ne recrutera ni n'embauchera, directement ou indirectement, aucune personne affectée par CEEYU à l'exécution des Services pendant la durée du Contrat et pendant douze (12) mois après la fin du Contrat pour quelque raison que ce soit, sans le consentement écrit préalable de CEEYU.

19. DIVERS

19.1 Le présent Contrat n’est pas exclusif et ne peut être interprété comme restreignant le droit de l’une ou l’autre Partie de conclure des contrats similaires avec un tiers (sans restriction quant au nombre, au lieu ou à l’objet de cet contrat) ou de livrer des produits ou prester des services à un tiers. Aucune disposition du présent Contrat ne sera interprétée comme ayant pour effet de constituer une relation de partenariat, de joint-venture, d’association ou fiduciaire ou une relation d’agence entre les Parties. Chaque Partie est entièrement libre et indépendante dans l’exécution du présent Contrat.

19.2 CEEYU peut inclure le Client dans sa liste de clients, publier une brève description de la mission et utiliser le nom et la marque du Client à des fins publicitaires et dans le cadre d’activités de relations publiques.

19.3 Le présent Contrat est régi par le droit belge, à l’exclusion de la Convention de Vienne sur les ventes du 11 avril 1980.

19.4 En cas de litiges concernant l’exécution et/ou l’interprétation du présent Contrat qui ne peuvent être résolus à l’amiable, seuls les Tribunaux d’Anvers (division Anvers)  seront compétents.

19.5 Toute réclamation du Client relative aux services livrés expire six (6) mois après la date à laquelle le Client prend connaissance ou aurait raisonnablement dû avoir connaissance de l’événement causant des dommages et donnant lieu à la réclamation. 

19.6 Ni le présent Contrat ni les droits ou obligations qui en découlent ne peuvent être transférés en tout ou en partie sans le consentement écrit exprès des deux Parties. 

19.7 La nullité d’une disposition ou d’une partie d’une disposition du présent Contrat n’affectera en aucun cas la validité du reste de la clause invalide, ni des autres clauses du Contrat. Les Parties mettront tout en œuvre pour remplacer, d’un commun accord, la clause invalide par une clause valide ayant un impact économique similaire ou semblable à la clause invalide.

19.8 Aucune des Parties au présent Contrat ne sera réputée avoir renoncé à tout droit ou réclamation en vertu du présent Contrat ou en relation avec une violation de l’autre Partie, à moins que cette renonciation n’ait été expressément communiquée par écrit. Même si une Partie, dans l’application de la présente clause, renonce à un droit ou à une réclamation spécifique en vertu du présent Contrat, une telle renonciation ne peut jamais être interprétée comme une renonciation à tout autre droit ou réclamation en vertu du présent Contrat, même si les deux cas présentent de grandes similitudes.

19.9 Sauf stipulation contraire, tous les recours juridiques prévus dans le Contrat sont cumulatifs et s’ajoutent à (et ne remplacent pas) tout autre recours juridique à la disposition des Parties.

19.10 En cas de conflit entre les différents documents du Contrat, l’ordre de précédence suivant s’appliquera : 
a) le Contrat de sous-traitance 
b) les Commandes 
c) les autres annexes 
d) le corps du présent Contrat 

19.11 Le présent Contrat, ses annexes (y compris les Bons de Commande) contiennent ensemble la représentation de tous les droits et obligations des Parties et remplacent tous les accords et propositions antérieurs, qu’ils aient été faits oralement ou par écrit. Les dérogations et les ajouts au présent Contrat ne sont valables que s’ils sont convenus par écrit entre les Parties. L’applicabilité des conditions d’achat ou d’autres conditions du Client est expressément exclue, même si ces conditions en disposent autrement.

19.12 Toutes les dispositions du Contrat qui sont expressément désignées comme survivant à la résiliation (y compris la dissolution) ou à l’expiration du Contrat ainsi que toutes les dispositions dont la survie après la fin du Contrat est prévue, survivront au Contrat et resteront pleinement en vigueur. Survivra en tout état de cause à la résiliation du Contrat (de manière non limitative) : toutes les dispositions relatives à la responsabilité, à la confidentialité et à la protection des données. 

19.13 Outre moyens de preuve explicitement autorisés par la loi applicable, les Parties peuvent valablement invoquer les moyens de preuve suivants: copies ou reproductions sous quelque forme que ce soit (photocopies, scans, ...), support de données et courrier électronique. Ceci s’applique indépendamment de la valeur ou de la nature de ce qu’une Partie a l’intention de prouver. Ces preuves ont la même valeur probante qu’une (autre) preuve écrite, moyennant le respect des dispositions du Code civil (belge).

19.14 Dans le cas où une copie signée du Contrat est envoyée par e-mail dans un document « .pdf » ou « jpeg » ou via une autre copie exacte, la signature qu’il contient créera un engagement valide et contraignant pour son signataire (ou la personne au nom et pour le compte de laquelle le contrat a été signé) et ce document aura la même valeur,  impact et effet que l’original.

19.15 Les titres et en-têtes du présent Contrat sont uniquement indicatifs et n’affectent en rien le contenu ou la portée des dispositions du Contrat ou les droits et obligations qui en découlent. 

19.16 CEEYU peut faire appel à des sous-traitants pour l’exécution de ses obligations en vertu du présent Contrat sans l’autorisation préalable du Client. CEEYU reste responsable de l’exécution de ses obligations par ses sous-traitants.

ANNEXE 1 – CONTRAT DE SOUS-TRAITANCE

LE PRÉSENT CONTRAT DE SOUS-TRAITANCE (le « CST ») est entre le Client,  ci-après le «Responsable du traitement», et CEEYU, ci-après le «Sous-traitant».

Le Responsable du traitement et le Sous-traitant peuvent être désignés ensemble comme les «Parties» ou individuellement comme la «Partie».


POUR CES RAISONS, LES PARTIES SONT CONVENU CE QUI SUIT :

1. DEFINITIONS

1.1  « Contrat » : la relation contractuelle entre le Responsable du traitement et le Sous-traitant par l’intermédiaire de laquelle le Sous-traitant fournit des services au Responsable du traitement et traite, dans ce contexte, des Données à caractère personnel pour le compte du Responsable du traitement, y compris toute commande en relation avec le présent Contrat.

1.2 « Annexe » : l’annexe du présent CST, qui en fait partie intégrante et qui décrit les Traitement des Données à caractère personnel. 

1.2 « Responsable du traitement», « Sous-traitant », « Traitement », « Personnes concernées », « Données à caractère personnel », « Violation des Données à caractère personnel », « Catégories spéciales de Données à caractère personnel », « Autorité de supervision » (ou l’un des termes équivalents) : ont la définition qui leur est donnée dans le RGPD

1.3  «  Législation relative à la protection des données »: toutes les législations applicables en matière de protection des données, y compris le règlement (UE) 2016/269 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE («Règlement général sur la protection des données» ou «RGPD » »), et toute modification ou remplacement de cette législation, le cas échéant ;

1.4 « CST »: le présent contrat de sous-traitance décrivant les conditions en vertu desquelles le Sous-traitant traite les Données à caractère personnel pour le compte du Responsable du traitement ;

1.5  «  Services »: les services fournis par le Sous-traitant au Responsable du traitement, comme stipulé dans le Contrat ;

1.6 « Sous-traitant ultérieur »: un sous-traitant externe désigné par le Sous-traitant ou par un autre sous-traitant ultérieur du Sous-traitant qui traite les Données à caractère personnel dans le cadre du rôle du Sous-traitant dans le contexte du présent CST ;

Les autres termes en majuscules sont définis dans le Contrat ou ci-dessous.

2. FINALITÉ DU CONTRAT DE SOUS-TRAITANCE

2.1 Le Sous-Traitant traitera certaines Données à caractère personnel dans le cadre de l’exécution des Services pour le compte du Responsable du traitement et conformément (i) aux instructions documentées du Responsable du traitement, (ii) à d’autres modalités énoncées dans le présent CST et dans le Contrat et  (iii) aux dispositions énoncées dans RGPD qui s’appliquent directement aux Sous-Traitants.

2.2 Le présent CST est un contrat de sous-traitance au sens de l’article 28 du RGPD, qui impose certaines obligations au Responsable du traitement pour s’assurer que tous les sous-traitants qu’il engage fournissent des garanties suffisantes pour garanties la sécurité du traitement. 

2.3 Le présent CST fait partie intégrante du Contrat. 

2.4 Sauf indication contraire expresse dans le présent CST, en cas de conflit entre les termes du Contrat et les termes du présent CST, les termes du présent CST prévaudront. 

3. DURÉE 

3.1 Le présent CST entrera en vigueur à la date de signature du Contrat. 

4. DROITS ET OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

4.1 Le Responsable du traitement est responsable du respect de toutes ses obligations énoncées dans le RGPD, en particulier pour justifier toute transmission de données à caractère personnel au Sous-traitant et à ses sous-traitants ultérieurs approuvés, y compris, mais sans s’y limiter, fournir les informations requises et obtenir les consentements et/ou autorisations requis, ou autrement fonder le traitement sur une base légale appropriée en vertu du RGPD.

4.2 Le Responsable du traitement doit désigner un point de contact unique (ci-après : le «PCU») pour les questions relatives au traitement des Données à caractère personnel sur la base du présent CST. Le PCU doit être dûment autorisé par le Responsable du traitement à discuter de questions confidentielles avec le Sous-traitant et à fournir au Sous-traitant des instructions concernant les activités de traitement en vertu du présent CST. Toutes les décisions et instructions du PCU relatives à la protection des données doivent être approuvées à l’avance par le Responsable du traitement et le Sous-traitant peut s’appuyer pleinement sur toutes les communications et décisions prises par le PCU. Le PCU est nommé en Annexe.

4.3 Le Responsable du traitement est à tout moment responsable de la sécurité de son infrastructure existante (y compris, mais sans s’y limiter: matériel, logiciels, sites Web, bases de données, procédures de surveillance et de sécurité, gestion adéquate du système, etc.). Par conséquent, le Responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles pour protéger ses Données à caractère personnel contre la destruction, la perte, l’altération ou la divulgation/l’accès de manière accidentelle ou illicite et évaluer à intervalles réguliers l’adéquation de ces mesures de sécurité, en les modifiant si nécessaire. Ces mesures techniques et organisationnelles doivent assurer un niveau de protection adéquat, compte tenu de l’état des connaissances, des coûts de mise en œuvre des mesures et des risques associés au traitement.

5. DROITS ET OBLIGATIONS DU SOUS-TRAITANT 

5.1 Le Sous-traitant est responsable du respect des dispositions du présent CST et des obligations énoncées dans le Législation relative à la protection des données qui s’appliquent directement aux sous-traitants.

5.2 Le Sous-traitant traitera uniquement les Données à caractère personnel conformément aux instructions documentées du Responsable du traitement, en conformité avec le Contrat et le présent CST, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le Sous-traitant est soumis.

5.3 Si le Sous-traitant estime que les instructions du Responsable du traitement enfreignent la Législation relative à la protection des données, le Sous-traitant en informera immédiatement le Responsable du traitement, à moins que la loi n’interdise une telle divulgation pour des raisons importantes d’intérêt public.

5.4 Le Sous-traitant garantit que les personnes de son organisation qui sont autorisées à traiter les Données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

5.5 Le Sous-traitant doit à tout moment mettre en œuvre les mesures techniques et organisationnelles appropriées et, en particulier, les mesures techniques et organisationnelles suivantes, qui sont approuvées par le Responsable du traitement avant le début du traitement, pour protéger les Données à caractère personnel contre la destruction, la perte, l’altération accidentelle ou illégale ou la divulgation/l’accès non autorisé aux Données à caractère personnel : 

(a) Le Sous-traitant est responsable de la mise en œuvre et de la surveillance de la sécurité pour sa partie du réseau. Les différents domaines du réseau, y compris le contrôle d’accès, sont séparés. 

(b) Le Sous-traitant n’est pas responsable de la conformité des logiciels de tiers avec la Législation relative à la protection des données. 

(c) Le Sous-traitant doit assurer la confidentialité des données et mettre en œuvre un processus de test et d’évaluation réguliers de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.   

5.6 Dans le cas où le Responsable du traitement exige des mesures techniques et organisationnelles plus strictes – que celles mentionnées à l’article 5.5 du CST– en raison de la politique, des directives, des règlements ou des lois applicables au Responsable du traitement, celui-ci en informera le Sous-traitant. Le Sous-traitant devra mettre en œuvre ces mesures techniques et organisationnelles plus strictes, dans la mesure où cela est techniquement possible pour le Sous-traitant. Dans le cas contraire, les Parties trouveront, en concertation, une solution appropriée. Tout écart ou ajout résultant d’une demande spécifique du Responsable du traitement est ajouté à l’Annexe. Le Sous-traitant a droit à une indemnisation pour ces mesures techniques et organisationnelles supplémentaires requises ou plus strictes. 

 À la demande du Responsable du traitement et compte tenu de la nature du Traitement et des informations dont dispose le Sous-traitant, le Sous-traitant fournira toute l’assistance raisonnable au Responsable du traitement pour permettre au Responsable du traitement de remplir ses obligations en ce qui concerne (i) la sécurité du Traitement, (ii) la communication d’une Violation des Données à caractère personnel à la Personne concernée et la notification d’une Violation de Données à caractère personnel à l’Autorité de supervision et iii) la réalisation d’une analyse d’impact relative à la protection des données et la notification préalable à l’Autorité de supervision. Le Sous-traitant a droit à une compensation pour cette assistance sur la base de ses taux horaires ou d’autres taux convenus entre les Parties.

6. DROITS DES PERSONNES CONCERNÉES

6.1 Le Sous-traitant doit, à la demande écrite et détaillée du Responsable du traitement, et compte tenu de la nature du traitement, adopter des mesures techniques et organisationnelles appropriées, pour raisonnablement aider le Responsable du traitement, dans la mesure du possible, à s’acquitter de son obligation de répondre aux demandes relatives à l’exercice des droits de la personne concernée. Pour éviter toute ambiguïté, le Responsable du traitement est responsable du traitement et du suivi de ces demandes. Le Sous-traitant a droit à une compensation raisonnable pour l’assistance fournie en vertu du présent article.

7. L’UTILISATION DE SOUS-TRAITANTS ULTÉRIEURS PAR LE SOUS-TRAITANT 

7.1 Le Responsable du traitement accepte l’utilisation de sous-traitants ultérieurs par le Sous-traitant. Le Sous-traitant tient à jour une liste des Sous-traitants ultérieurs auxquels il souhaite faire appel et en fournit une copie au Responsable du traitement près sa demande écrite. 

7.2 Le Sous-traitant informera le Responsable du traitement de toute modification envisagée concernant l’ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au Responsable du traitement la possibilité de s’opposer à de telles modifications. Le Responsable du traitement peut s’opposer à l’utilisation du Sous-traitant ultérieur dans les cinq (5) jours suivant la notification de la désignation de celui-ci. Dans ce cas, les Parties décideront conjointement si (i) le Sous-traitant ultérieur sera toujours déployé, (ii) le Sous-traitant ultérieur sera remplacé par un autre Sous-traitant ultérieur sélectionné par le Sous-traitant ou (iii) le Sous-traitant ultérieur ne sera pas nommé (ou aucune Donnée à caractère personnel ne sera divulguée à ce Sous-traitant ultérieur), jusqu’à ce que des mesures raisonnables soient prises pour répondre aux objections du Responsable du traitement et jusqu’à ce que le Responsable du traitement ait reçu des explications raisonnables concernant les mesures mises en œuvre. Il est possible que le Sous-traitant ne soit pas en mesure de garantir la fourniture continue de services en cas de désaccord concernant un sous-traitant ultérieur, et le Sous-Traitant ne peut être tenu responsable d’éventuels retards de mise en œuvre liées aux discussions concernant un sous-traitant ultérieur.

7.3 Le Sous-traitant imposera à ses sous-traitants ultérieurs les mêmes obligations en matière de protection des données que celles énoncés dans le présent CST. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant reste entièrement responsable envers le Responsable du traitement de l’exécution de ces obligations.

7.4 Le Sous-traitant confirme que le sous-traitant ultérieur a été choisi en considération de la pertinence des mesures techniques et organisationnelles utilisées par le sous-traitant ultérieur.

8. DROITS D’AUDIT 

8.1 Le Sous-traitant doit mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations en vertu de la Législation relative à la protection des données. À la demande du Responsable du traitement, le Sous-traitant peut démontrer le respect de ses obligations en vertu du présent CST en fournissant au Responsable du traitement ses dernières certifications et/ou des rapports d’audit sommaires sur les mesures techniques et organisationnelles implémentées. Le Responsable du traitement peut poser des questions supplémentaires et le Sous-traitant doit raisonnablement coopérer avec le Responsable du traitement en fournissant des informations supplémentaires. Le Sous-traitant peut facturer au Responsable du traitement sa coopération aux tarifs stipulés dans le Contrat ou selon ses tarifs horaires habituels.

8.2 Si de telles certifications et/ou rapports d’audit sommaires ne sont pas disponibles, la procédure suivante s’applique : à la demande du Responsable du traitement, le Sous-traitant doit permettre et contribuer aux audits, y compris les inspections, effectués par le Responsable du traitement ou un autre auditeur mandaté par le Responsable du traitement. Un tel audit ne peut avoir lieu plus d’une fois par année contractuelle. Le responsable du traitement doit fournir au Sous-traitant un préavis écrit d’au moins trente (30) jours de son intention d’effectuer un audit. La notification doit comprendre au moins le nom de l’auditeur ainsi qu’une description de l’objectif et de la portée de l’audit. L’audit aura lieu pendant les heures ouvrables du Sous-traitant.

8.3 L’audit peut être effectué par un auditeur interne ou un auditeur externe choisi par le Responsable du traitement, à condition que celui-ci ne puisse pas être considéré comme un concurrent du Sous-traitant et à condition qu’il n’y ait pas de conflit d’intérêts. Le Sous-traitant a le droit d’approuver l’auditeur à l’avance. 

8.4 Le Sous-traitant peut limiter l’accès du Responsable du traitement aux locaux du Sous-traitant à un espace déterminé par le Sous-traitant et l’auditeur ne peut pas copier ou supprimer des documents du Sous-traitant sans le consentement préalable du Sous-traitant.

8.5 Le Responsable du traitement garantit que l’audit sera effectué de manière à limiter au minimum les inconvénients pour le Sous-traitant et son entreprise.

8.6 Le Responsable du traitement imposera des obligations de confidentialité suffisantes à ses auditeurs. En outre, le Sous-traitant a le droit d’exiger des auditeurs qu’ils signent un accord de non-divulgation avant le début de l’audit, de la manière définie par le Sous-traitant. Dans tous les cas, il est essentiel de protéger les informations confidentielles du Sous-traitant. 

8.7 Le Responsable du traitement doit envoyer, ou demandera à ses auditeurs externes d’envoyer, une version préliminaire du rapport d’audit au Sous-Traitant. Le Sous-Traitant a le droit de soumettre ses commentaires dans un délai convenu entre les Parties. L’auditeur doit prendre en compte les commentaires du Sous-traitant et inclure ces commentaires dans son rapport final soumis au Sous-Traitant. 

8.8 Tous les frais d’audit sont exclusivement à la charge du Responsable du traitement. En outre, le Sous-traitant a droit à une indemnisation raisonnable pour l’assistance fournie en vertu du présent article.

9. TRANSFERTS DE DONNEES A CARACTERE PERSONNEL 

9.1 Les Données à caractère personnel traitées dans le cadre du présent CST ne peuvent pas être transférées vers un pays en dehors de l’Espace économique européen sans le consentement écrit préalable du Responsable du traitement. Dans le cas où les Données à caractère personnel traitées dans le cadre du présent Contrat sont transférées d’un pays de l’Espace économique européen vers un pays situé en dehors de l’Espace économique européen, les Parties veillent à ce que les Données à caractère personnel soient protégées de manière adéquate. Pour ce faire, les parties s’appuieront, sauf accord contraire, sur les clauses contractuelles types de l’UE pour le transfert de Données à caractère personnel.

10. RESPONSABILITE 

10.1 Le Sous-traitant ne peut être tenu responsable que d’une violation du présent CST qui lui est directement imputable ou d’une violation des dispositions du RGPD qui s’appliquent directement aux Sous-traitants.

10.2 Si le Sous-Traitant et le Responsable du traitement sont tenus conjointement responsables par la Personne concernée, le Responsable du traitement dédommagera intégralement la Personne concernée. Le Responsable du traitement a droit à une indemnisation de la part du Sous-Traitant dans la mesure où il existe une violation du CST ou des règles du RGPD directement imputables au Sous-traitant commise par le Sous-traitant, prouvée par le Responsable du traitement et dans la mesure où (i) le Responsable du traitement a rempli ses propres obligations telles que définies dans le présent CST ou le RGPD et (ii) au prorata de la violation commise par le Sous-Traitant. Cette indemnisation est soumise à la limitation de responsabilité énoncée à l’article 10.3 du présent CST.

10.3 La clause de limitation de responsabilité contenue dans le Contrat est pleinement applicable.  Dans le cas où aucune limitation de responsabilité n’a été convenue dans le Contrat, la responsabilité du Sous-traitant est en tout état de cause limitée à la valeur du Contrat.

10.4  Le présent article 10 ne s’applique que dans la mesure permise par la loi.

11. FIN DU CONTRAT ET CONSEQUENCES 

11.1 Le présent CST prend fin automatiquement après le dernier des événements suivants : (i) la résiliation du Contrat ; ou (ii) la date de la dernière activité de traitement. 

11.2 Après la résiliation du présent CST, le Sous-traitant cessera ses activités de Traitement. En cas de résiliation partielle du Contrat, le Traitement cessera le traitement des données relatives aux activités qui sont affectées par la résiliation partielle au moment de celle-ci ou à un autre moment stipulé dans le Contrat entre les Parties.

11.3 Le Sous-Traitant supprimera ou retournera, au choix du Responsable du traitement, toutes les Données à caractère personnel relatives aux services qui ont pris fin (dans la mesure où ces Données à caractère personnel ne sont pas nécessaires pour la fourniture des services qui n’ont pas pris fin, en cas de fin partielle des services) et supprimera les copies existantes dans la mesure où cela est techniquement possible. Le Sous-traitant peut conserver des copies des Données à caractère personnel si leur conservation est nécessaire pour des raisons légales ou réglementaires. Le Sous-traitant a droit à une indemnisation raisonnable pour la destruction et/ou le retour des Données à caractère personnel.

12. DIVERS

12.1 Si une disposition du présent CST s’avère invalide ou inapplicable en tout ou en partie, elle sera considérée comme divisible (dans la mesure où elle est invalide ou inapplicable) et la validité des autres dispositions du présent CST et du reste de la disposition en question n’en sera pas affectée. Si la disposition invalide est d’une importance fondamentale pour atteindre l’objectif du présent CST, les Parties négocieront de bonne foi pour remédier à l’invalidité, à l’illégalité ou à l’inapplicabilité de la disposition ou modifier autrement le présent CST pour lui permettre d’atteindre son objectif.

12.2 Le présent CST ne peut être modifié qu’avec un amendement écrit, signé par les représentants autorisés des deux Parties.

ST Annexe 1. Description du traitement 

Le traitement des données effectué par le Sous-traitant pour le compte du Responsable du traitement concerne la fourniture d'une plateforme SaaS de gestion des risques des fournisseurs.

L'activité de traitement des données consiste à ingérer les coordonnées des employés du Fournisseur tant chez le Client que chez le Fournisseur et les réponses aux questionnaires envoyés via la plateforme SaaS de CEEYU.

Les catégories de Données à caractère personnel traitées sont: nom et prénom, coordonnées professionnelles (adresse, numéro de téléphone, adresse e-mail), adresse e-mail de l’employé, adresses IP, noms de domaine et noms de sous-domaine.

Les Personnes concernées sont: employés, clients, fournisseurs.

CST Annexe 2. Point de contact unique 

Responsable du traitement 

Le Responsable du traitement communique la personne designé en tant que PCU pour la protection des Données à caractère personnel à CEEYU au plus tard deux semaines avant le début du Contrat.

Sous-traitant 

Le Sous-traitant désigne la personne suivante en tant que PCU pour la protection des Données à caractère personnel : 
(a) Jimmy Pommerenke, CEO
(a) [email protected], +32 473 350 184

ANNEXE 2 – FONCTIONALITES ESSENTIELLES

Les fonctionnalités essentielles mentionnées à l’article 5.5 du présent Contrat sont les suivantes :

1. La possibilité de visualiser son empreinte numérique telle que découverte par Ceeyu (en tenant compte de la clause FP/FN). Ceeyu est libre d’ajouter / supprimer des données à cette vue, tant qu’il existe la possibilité d’avoir une vue d’ensemble de l’empreinte numérique et la possibilité de calculer les scores de sécurité.

2. La possibilité de visualiser son score de sécurité. Un calcul basé sur une partie des données d’empreinte numérique. Ceeyu est libre de modifier l’échelle et l’algorithme de notation, mais fournira toujours une forme de score.

3. La possibilité de visualiser le score de ses Fournisseurs. Idem, ce score est basé sur une partie des données et l’algorithme est sujet à changement.

 

ANNEXE 3 - TERMES ET CONDITIONS SERVICES PROFESSIONNELS

Les services professionnels Ceeyu sont soumis aux termes et conditions suivants.

Pour le "Third Party Onboarding Support":

1) Responsabilités du Client.

  • Le Client crée lui-même le Fournisseur sur Ceeyu.be.  Si cette fonctionnalité n'est pas (encore) disponible, le Client fournit à Ceeyu toutes les données permettant d'identifier le Fournisseur sans ambiguïté (nom, adresse, numéro de TVA).  
  • Le Client est responsable de la fourniture des coordonnées personnelles d'au moins une personne de contact chez le Fournisseur.  Si ces coordonnées s'avèrent incorrectes, le Client est responsable de fournir les coordonnées correctes. 
  • Si la personne de contact chez le Fournisseur ne répond pas, le Client est alors responsable de fournir à Ceeyu les coordonnées d'une autre personne de contact.  

2) Responsabilités de Ceeyu. 

  • Ceeyu assure le suivi de la création d'un compte sur la plateforme Ceeyu et du remplissage d'un questionnaire initial par la personne de contact du Fournisseur.  Pour ce faire, Ceeyu envoie des e-mails et appelle la personne de contact désignée par le Client.  Ceeyu appelle la personne de contact au moins 5 fois pendant les heures de bureau et laisse à chaque fois un message vocal. 
  • Si la personne de contact désigne une autre personne, Ceeyu assure le suivi de l'onboarding de cette nouvelle personne de contact comme décrit ci-dessus.

Pour le "Periodic Risk Review :

1) Responsabilités du client.

  • Le Client est présent lors de la réunion de Risk Review prévue par Ceeyu. 
  • Si le Client ne peut pas être présent, il peut demander jusqu'à 48h à l'avance de reprogrammer la réunion.

2) Responsabilités de Ceeyu 

Ceeyu programme une réunion récurrente de Risk Review avec le client.  

  • La réunion se déroule numériquement, Ceeyu choisit la plateforme par laquelle la réunion aura lieu.
  •  En préparation de la réunion Risk Review, Ceeyu prépare une liste des 5 risques les plus importants sur base des données disponibles sur la plateforme Ceeyu. 
  • Ceeyu fournit un enregistrement vidéo de la réunion et le met à la disposition du client après la réunion. 
  • Ceeyu fournit au client un résumé concis des risques et des actions discutés après chaque réunion de Risk Review.

Pour "Demandez à un expert en sécurité" : 

1) Responsabilités Client .
Le client est responsable de la définition claire de la question/problème.

  • Le Client soumet la question à Ceeyu par email à [email protected]
  • Le Client accepte que Ceeyu ne puisse pas fournir de réponse si la question concerne une implémentation spécifique à un fournisseur ou à un logiciel.

2) Responsabilités de Ceeyu 

Ceeyu répond à la question dans les 24h pendant les jours ouvrables.