Voir la version précédente des conditions d'utilisation
Dernière mise à jour : 18/02/2024
Introduction
Le site internet www.tryriot.com (ci-après le « Site »), édité par la société Riot Security, Inc. (ci-après « Riot Security » ou « nous »), permet d’accéder à la solution Riot (ci-après la « Solution Riot ») destinée aux entreprises et visant à former et sensibiliser les employés aux risques liés à la cybersécurité (ci-après les « Services Cybersécurité ») (ensemble les « Services »).
Les présentes conditions d’utilisation (ci-après les « Conditions ») s’appliquent à toutes sociétés souhaitant bénéficier des Services Cybersécurité proposés par Riot Security (ci-après « vous » ou les « Client(s) »).
Riot Security et le Client sont également ci-après désignés individuellement la « Partie » ou ensemble les « Parties ».
Les présentes Conditions régissent votre souscription aux Services Cybersécurité et votre utilisation de la Solution Riot dans ce cadre et viennent compléter le bon de commande qui vous est adressé (ci-après le « Bon de commande »).
Votre accord avec nous comprend les présentes Conditions, le Bon de commande et notre Politique de protection des données personnelles (ci-après ensemble les « Accords »). Vous reconnaissez avoir lu et compris les Accords, et acceptez d’être lié par eux.
1. Achats
Si vous souhaitez acheter un produit ou un service disponible par le biais de la Solution Riot et des Services Cybersécurité (« Achat »), il peut vous être demandé de fournir certaines informations relatives à votre Achat, y compris, sans s’y limiter, votre numéro de carte de crédit, la date d’expiration de votre carte de crédit et votre adresse de facturation.
Vous déclarez et garantissez que : (i) vous avez le droit légal d’utiliser toute(s) carte(s) de crédit ou autre(s) méthode(s) de paiement en rapport avec tout Achat ; et que (ii) les informations que vous nous fournissez sont vraies, correctes et complètes.
Nous pouvons faire appel à des services tiers pour faciliter le paiement et la réalisation des Achats. En soumettant vos informations, vous nous donnez le droit de fournir ces informations à ces tiers, conformément à notre politique de protection des données personnelles. Vous êtes informé que Riot Security a recours à la solution de paiement du prestataire de paiement Stripe et vous acceptez d’être lié par ses conditions générales en procédant au paiement de tout Abonnement de Services de Cybersécurité dans le cadre des Conditions.
L’acceptation et/ou l’exécution des commandes par Riot Security est sous réserve de :
- l’absence de circonstances de nature à justifier leur remise en cause, telles que l’indisponibilité du produit ou du service, l’existence d’erreurs dans la description ou le prix du produit ou du service ou d’autres erreurs affectant la commande ;
- l’absence de suspicion raisonnable ou de constatation d’une fraude ou d’une transaction non autorisée ou illégale.
2. Réductions
Les concours, loteries, réductions ou autres promotions (collectivement, les « Promotion(s) » ) disponibles par le biais du Site ou de la Solution Riot peuvent être régis par des règles distinctes des présentes Conditions. Si vous participez à une quelconque Promotion, veuillez consulter les règles applicables. Si les règles d’une Promotion sont en contradiction avec les présentes Conditions d’utilisation, les règles de la Promotion s’appliqueront.
3. Abonnements
Certains de nos Services Cybersécurité sont facturées sur la base d’un abonnement (« Abonnement(s) »). Vous serez facturé à l’avance sur une base récurrente et périodique (« Cycle de facturation »). Les Cycles de facturation sont établis sur une base mensuelle ou annuelle, en fonction du type de plan d’abonnement que vous sélectionnez lors de l’Achat d’un Abonnement et qui est précisé sur le Site ou dans le Bon de commande.
À la fin de chaque Cycle de facturation, votre abonnement sera automatiquement renouvelé dans les mêmes conditions, sauf si vous l’annulez ou si Riot Security l’annule. Vous pouvez annuler le renouvellement de votre Abonnement annuel jusqu’à un (1) mois avant la fin du Cycle de facturation en cours, soit sur la page de gestion de votre compte en ligne, soit en contactant l’équipe de relation clients de Riot Security. Vous conserverez l’accès à votre compte Client jusqu’à la fin du Cycle de facturation en cours.
Une méthode de paiement valide, y compris une carte de crédit, est requise pour traiter le paiement de votre Abonnement. Vous devez fournir à Riot Security des informations de facturation exactes et complètes, notamment votre nom complet, votre adresse, votre état, votre code postal, votre numéro de téléphone et une méthode de paiement valide. En soumettant ces informations de paiement, vous autorisez automatiquement Riot Security à imputer tous les frais d’abonnement encourus par le biais de votre compte à ces instruments de paiement.
Si la facturation automatique ne se produit pas pour quelque raison que ce soit, Riot Security émettra une facture électronique indiquant que vous devez procéder manuellement, dans un certain délai, au paiement intégral correspondant à la période de facturation indiquée sur la facture.
4. Conditions de paiement
Sauf paiement en ligne dans le cadre d’abonnements par prélèvement automatique, tout paiement devra être réalisé dans les trente (30) jours suivant la réception de la facture applicable.
Le Client devra s’acquitter de toutes taxes (TVA ou autres) applicables aux Services Cybersécurité (les « Taxes ») qui seront mentionnées sur les factures émises par Riot Security.
Tout montant impayé à la date d’échéance applicable donnera lieu, sans délai et sans mise en demeure préalable, (i) à des pénalités de retard à un taux d’intérêt égal au taux appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majoré de dix (10) points de pourcentage, et (ii) à une indemnité forfaitaire pour frais de recouvrement de quarante (40) euros par facture, exigibles le jour suivant la date de règlement.
5. Modifications des frais
Riot Security à sa seule discrétion et à tout moment, peut modifier les frais d’Abonnement pour les Abonnements. Toute modification des frais d’Abonnement prendra effet à la fin du Cycle de facturation alors en vigueur.
Riot Security vous fournira un préavis raisonnable en cas de modification des frais d’Abonnement afin de vous donner la possibilité de résilier votre Abonnement avant que cette modification ne prenne effet.
Votre utilisation continue de la Solution Riot et des Services Cybersécurité après l’entrée en vigueur du nouveau Cycle de facturation constitue votre accord pour payer le montant modifié des frais d’Abonnement.
6. Contenu
Le contenu trouvé sur ou via la Solution Riot et les Services Cybersécurité (ci-après le « Contenu ») est la propriété de Riot Security. A l’exception de l’utilisation de la Solution Riot et des Services Cybersécurité dans le respect des dispositions des Conditions, vous ne pouvez pas distribuer, modifier, transmettre, réutiliser, télécharger, repartager, copier ou utiliser ledit Contenu, en tout ou en partie, à des fins commerciales ou pour votre bénéfice personnel, sans notre autorisation écrite préalable.
Le Contenu inclut notamment mais sans s’y limiter les modèles d’e-mails d’hameçonnage ou les cours dispensés via la Solution Riot dans le cadre des Services Cybersécurité.
7. Utilisation de nos Services SaaS
L’accès à la Solution Riot et aux Services Cybersécurité est fourni au Client sous la forme d’une application accessible à distance comme un service, par le biais du Site. La Solution Riot n’est pas installée sur un serveur interne ou un poste de travail du Client.
Pendant la durée des Accords qui se poursuit tant que le Client est à jour de son Abonnement et respecte les Conditions, Riot Security s’engage à mettre la Solution Riot à la disposition du Client, à titre non exclusif et non transférable, sous réserve de circonstances indépendantes de sa volonté dont elle informerait le Client dans les meilleurs délais et de son engagement de faire ses meilleurs efforts afin de rétablir dans les délais les plus courts l’accès à la Solution Riot.
Aux termes des Conditions, le Client dispose donc dans le cadre de son Abonnement d’un droit d’accès continu à la Solution Riot mais Riot Security ne consent au Client aucune licence sur la Solution Riot et, de façon plus générale, sur un quelconque logiciel. En tout état de cause, le Client s’interdit de pratiquer toute ingénierie à rebours ou procédé similaire sur la Solution Riot ou tout logiciel ou autre produit fourni par Riot Security ou accessible sur le Site.
L’accès au service constitué par la Solution Riot hébergée sur le Site comprend l’utilisation des fonctionnalités des Services Cybersécurité fournis au Client dans le cadre et sous réserve du respect des Conditions.
Le Client bénéficie de mises à jour régulières de la Solution Riot qui sont comprises dans les Abonnements dès qu’elles sont réalisées sur le Site.
Le Client doit utiliser la Solution Riot et les Services Cybersécurité uniquement à des fins légales conformément aux présentes Conditions, et s’interdit d’utiliser la Solution Riot et les Services Cybersécurité :
- de toute manière qui viole toute loi ou réglementation nationale ou internationale applicable ;
- dans le but d’exploiter, de nuire ou de tenter d’exploiter ou de nuire à des mineurs de quelque manière que ce soit en les exposant à un contenu inapproprié ou autre ;
- pour se faire passer ou tenter de se faire passer pour Riot Security, un employé de Riot Security, un autre utilisateur, ou toute autre personne ou entité ;
- de quelque manière que ce soit qui porte atteinte aux droits d’autrui, ou de quelque manière que ce soit qui soit illégale, menaçante, frauduleuse ou nuisible, ou en relation avec tout but ou activité illégale, frauduleuse ou nuisible ;
- pour s’engager dans toute autre conduite qui restreint ou empêche l’utilisation ou la jouissance de la Solution Riot et des Services Cybersécurité par quiconque, ou qui est susceptible de nuire ou porter préjudice à Riot Security ou aux utilisateurs de la Solution Riot et des Services Cybersécurité ou de les exposer à une responsabilité.
En outre, vous acceptez de ne pas :
- utiliser la Solution Riot et les Services Cybersécurité d’une manière qui pourrait désactiver, surcharger, endommager ou détériorer la Solution Riot et les Services Cybersécurité ou interférer avec l’utilisation de la Solution Riot et des Services Cybersécurité par une autre partie, y compris sa capacité à s’engager dans des activités en temps réel par le biais de la Solution Riot et des Services Cybersécurité ;
- utiliser un robot ou tout autre dispositif, processus ou moyen automatique pour accéder à la Solution Riot et aux Services Cybersécurité à quelque fin que ce soit, y compris la surveillance ou la copie de tout matériel sur la Solution Riot et les Services Cybersécurité ;
- utiliser tout processus manuel pour surveiller ou copier tout matériel sur la Solution Riot et les Services Cybersécurité ou à toute autre fin non autorisée sans notre consentement écrit préalable ;
- utiliser tout dispositif, logiciel ou routine qui interfère avec le bon fonctionnement de la Solution Riot et des Services Cybersécurité ;
- introduire des virus, des chevaux de Troie, des vers, des bombes logiques ou tout autre matériel malveillant ou technologiquement nuisible ;
- tenter d’obtenir un accès non autorisé à, d’interférer avec, d’endommager ou de perturber toute partie de la Solution Riot et des Services Cybersécurité, le serveur sur lequel la Solution Riot est stockée, ou tout serveur, ordinateur ou base de données connecté à la Solution Riot ;
- attaquer la Solution Riot et les Services Cybersécurité via une attaque par déni de service ou une attaque par déni de service distribué ;
- prendre toute mesure susceptible d’endommager ou de falsifier la notation de Riot Security ;
- tenter de toute autre manière d’interférer avec le bon fonctionnement de la Solution Riot et des Services Cybersécurité.
8. Utilisation interdite aux mineurs
La Solution Riot et les Services Cybersécurité sont destinés uniquement à l’accès et à l’utilisation par des personnes âgées d’au moins dix-huit (18) ans. En accédant à la Solution Riot et aux Services Cybersécurité ou en les utilisant, vous garantissez et déclarez que vous avez au moins dix-huit (18) ans et que vous avez la pleine autorité, le droit et la capacité de conclure cet accord et de respecter toutes les conditions générales des présentes Conditions. En cas de nécessité d’accès ou d’utilisation de la Solution Riot par un mineur de moins de dix-huit (18) ans dans le cadre d’un stage ou d’une fonction similaire chez le Client, un tel accès ou une telle utilisation ne peut être réalisée que sous la supervision et la responsabilité d’un membre habilité du personnel du Client ayant au moins dix-huit (18) ans, étant précisé que le Client sera exclusivement responsable en tant que responsable du traitement du respect des obligations en matière de protection des données des mineurs numériques.
9. Comptes
Vous pouvez accéder à nos Services en vous connectant directement sur la Solution Riot à l’aide d’une adresse email et du Magic Link ou d’un service SSO. L’inscription entraîne automatiquement l’ouverture d’un compte administrateur en votre nom.
Lorsque vous créez un compte chez nous, vous garantissez que vous avez plus de 18 ans et que les informations que vous nous fournissez sont exactes, complètes et actuelles à tout moment. Vous vous engagez à rectifier sans délai toute information inexacte, incomplète ou obsolète sur simple demande de Riot Security, à défaut de quoi Riot Security est autorisée à résilier avec effet immédiat votre Abonnement et votre accès à la Solution Riot.
Vous êtes responsable du maintien de la confidentialité de votre compte et de votre mot de passe, y compris, mais sans s’y limiter, de la restriction de l’accès à votre ordinateur et/ou à votre compte. Vous acceptez d’assumer la responsabilité de toutes les activités ou actions qui se produisent sous votre compte et/ou votre mot de passe, que votre mot de passe soit avec la Solution Riot ou un service tiers. Vous devez nous informer immédiatement dès que vous avez connaissance d’une violation de la sécurité ou d’une utilisation non autorisée de votre compte.
Vous ne pouvez pas utiliser comme nom d’utilisateur le nom d’une autre personne ou entité ou qui n’est pas légalement disponible pour être utilisé, un nom ou une marque de commerce qui fait l’objet de droits d’une autre personne ou entité que vous, sans autorisation appropriée. Vous ne pouvez pas utiliser comme nom d’utilisateur un nom offensant, vulgaire ou obscène.
Le non-respect des Conditions liées à l’ouverture et au fonctionnement des comptes est susceptible de justifier un refus d’accès à la Solution Riot et aux Services Cybersécurité, la fermeture des comptes, la suppression ou la modification de leur contenu, ou l’annulation des commandes.
Une fois votre compte créé, vous pouvez librement créer des accès pour vos employés (les « Utilisateurs »), dans la limite du nombre prévu au Bon de commande. Toute nouvelle demande d’ouverture de compte Utilisateurs devra faire l’objet d’un nouveau Bon de commande émis par Riot Security.
Vous êtes seul responsable de la création des accès pour les Utilisateurs et de leur utilisation personnelle de la Solution.
10. Protection des données à caractère personnel
Riot Security et le Client reconnaissent avoir une pleine et entière connaissance des obligations découlant de la réglementation relative à la protection des données à caractère personnel, résultant en particulier du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), ainsi que de toute autre réglementation applicable en la matière, venant s’y ajouter ou s’y substituer ultérieurement (ci-après « Réglementation Données Personnelles »), qui s’appliquent à eux en leurs qualités respectives de :
- responsables de traitement indépendants pour Riot Security et le Client concernant le traitement des données à caractère personnel de leurs contacts professionnels respectifs aux fins de gestion de leur relation commerciale l’un avec l’autre ;
- responsable de traitement pour le Client concernant le traitement des données à caractère personnel de ses employés nécessaire à la fourniture des Services Cybersécurité, dans la mesure où il en détermine les finalités et les moyens ;
- sous-traitant pour Riot Security concernant le traitement des données à caractère personnel des employés du Client nécessaire à la fourniture des Services Cybersécurité, dans la mesure où Riot Security agit dans ce cadre uniquement pour le compte du Client et conformément à ses instructions documentées, lesquelles comprennent la fourniture de la Solution Riot et des Services Cybersécurité conformément aux présentes Conditions.
En sa qualité de sous-traitant, Riot Security traite les données à caractère personnel des employés du Client conformément aux annexes 1, 2 et 3 des présentes Conditions.
Par ailleurs, tout transfert de données à caractère personnel entre le Client – agissant en sa qualité de responsable de traitement - vers Riot Security – agissant en sa qualité de sous-traitant - est également régi par l’annexe 4 des présentes Conditions.
11. Propriété intellectuelle
La Solution Riot et son Contenu original, ses caractéristiques et ses fonctionnalités sont et resteront la propriété exclusive de Riot Security et de ses concédants de licence. La Solution Riot est protégée par des droits d’auteur, des marques commerciales et différentes lois des États-Unis et d’autres pays. En dehors de l’utilisation de la Solution Riot dans le strict respect des Conditions, nos marques et habillages commerciaux ne peuvent être utilisés en relation avec tout produit ou service sans le consentement écrit préalable de Riot Security.
12. Signalement des erreurs et commentaires
Vous pouvez nous fournir, soit directement à l’adresse support@tryriot.com, soit par l’intermédiaire de sites et d’outils tiers (comme Intercom), des informations et des commentaires concernant des erreurs, des suggestions d’amélioration, des idées, des problèmes, des plaintes et d’autres questions liées à la Solution Riot et aux Services Cybersécurité (« Commentaire(s) » ). Vous reconnaissez et acceptez que : (i) vous ne conserverez, n’acquerrez ni ne ferez valoir aucun droit de propriété intellectuelle ou autre droit, titre ou intérêt sur les Commentaires ; (ii) Riot Security peut avoir des idées de développement similaires aux Commentaires ; (iii) les Commentaires ne contiennent pas d’informations confidentielles ou exclusives de votre part ou de celle d’un tiers ; et (iv) Riot Security n’est soumise à aucune obligation de confidentialité en ce qui concerne les Commentaires. Dans le cas où le transfert de la propriété du Commentaire n’est pas possible en raison des lois impératives applicables, vous accordez à Riot Security et à ses sociétés affiliées un droit exclusif, transférable, irrévocable, gratuit, pouvant faire l’objet d’une sous-licence, illimité et perpétuel d’utiliser (y compris copier, modifier, créer des œuvres dérivées, publier, distribuer et commercialiser) le Commentaire de quelque manière et à quelque fin que ce soit.
13. Liens vers d’autres sites Web
Si la Solution Riot contient des liens vers des sites web ou des services tiers qui ne sont pas détenus ou contrôlés par Riot Security, il est rappelé que, même si Riot Security fait preuve de prudence dans ses relations avec de tels tiers, Riot Security ne saurait être tenue responsable d’une quelconque manière du contenu, des publicités, des produits et des services, des politiques de confidentialité ou des pratiques de tout site web ou service tiers, et ne garantit pas les offres de ces entités/individus ou de leurs sites web.
Vous reconnaissez et acceptez que Riot Security ne sera pas responsable, directement ou indirectement, de tout dommage ou perte causés ou présumés causés par ou en lien avec l’utilisation de tout contenu, biens ou services disponibles sur ou par l’intermédiaire de ces sites web ou services de tiers.
Il est de votre responsabilité de lire les conditions et les politiques de protection des données personnelles de tous les sites web ou services de tiers que vous visitez ou utilisez.
14. Obligations de Riot Security
Riot Security s’engage à fournir la Solution Riot et les Services Cybersécurité avec tous les soins raisonnablement attendus d’un professionnel diligent.
Riot Security s’engage vis-à-vis du Client à ce que la Solution Riot et les Services Cybersécurité soient conformes à la loi et à ce que leurs caractéristiques générales, y compris la qualité du service fourni, correspondent significativement et raisonnablement à la description qui en est faite sur le Site.
Riot Security fera ses meilleurs efforts dans le cadre de la réalisation de la maintenance évolutive et corrective de la Solution Riot. Riot Security s’engage à informer le Client dans les meilleurs délais dans l’hypothèse où des opérations de maintenance seraient nécessaires et viendraient perturber le fonctionnement de la Solution Riot et des Services Cybersécurité et à faire ses meilleurs efforts afin de réduire ou de mettre un terme à la perturbation concernée aussi rapidement que possible.
15. Limites de garantie
La Solution Riot et les Services Cybersécurité sont fournis par Riot Security sur une base « telle quelle » ou « telle que disponible ». Riot Security ne fait aucune déclaration ou garantie, expresse ou implicite, résultant de la loi ou de tout document contractuel, relative à la qualité marchande, l’absence de contrefaçon, la disponibilité permanente, l’absence d’erreurs ou de bugs et leur correction immédiate, au fonctionnement des réseaux de télécommunications, à l’absence de circonstances indépendantes de la volonté de Riot Security empêchant ou affectant l’utilisation de la Solution Riot et des Services Cybersécurité, et l’adaptation à un usage particulier du Client. Vous reconnaissez que votre utilisation de la Solution Riot et des Services Cybersécurité, de leur Contenu et de tous les services ou éléments obtenus de nous se fait sous votre responsabilité.
Les stipulations qui précèdent n’affectent pas les garanties qui ne peuvent être exclues ou limitées conformément à la loi applicable.
16. Limitation de la responsabilité
Chacune des Parties ne pourra être tenue responsable envers l’autre Partie d’aucun préjudice indirect, accessoire ou consécutif. De convention expresse entre les Parties, est considéré comme préjudice indirect tout préjudice financier ou commercial, perte de chiffre d’affaires, de bénéfice, de données, de commande ou de clientèle, ainsi que toute action dirigée contre les clients et/ou l’autre Partie par un tiers sauf si ladite action résulte d’une faute imputable à la Partie concernée. Les dommages punitifs sont en tout état de cause expressément exclus.
La responsabilité totale de Riot Security à l’égard de tout préjudice, dommage, coût ou dépense découlant d’une réclamation en lien avec la Solution Riot Security, les Services Cybersécurité ou les Conditions ne peut en aucun cas excéder, en toutes circonstances, le montant annuel total payé à Riot Security par le Client.
A peine d’irrecevabilité, toute réclamation devra être adressée à l’autre Partie par lettre recommandée avec demande d’avis de réception ou par service de messagerie dans un délai maximum de trente (30) jours calendaires suivant la survenance du préjudice/dommage.
Les présentes Conditions limitatives de responsabilité constituent un élément essentiel de l’engagement des Parties dans le cadre des présentes.
17. Force Majeure
Aucune Partie n’encourt de responsabilité pour n’avoir pas accompli ou avoir accompli avec retard une obligation au titre des Conditions, dès lors qu’un tel manquement ou retard résulte directement d’un événement présentant les caractéristiques de la force majeure conformément à la définition qui en est donnée par l’article 1218 du Code civil (la « Force Majeure »). De convention expresse entre les Parties, constituent notamment des cas de Force Majeure l’incendie, l’inondation, l’explosion, la guerre, la guerre civile, l’acte de terrorisme, l’émeute, l’embargo, l’épidémie ou la pandémie, les attaques et virus informatiques, le dysfonctionnement des réseaux de communications et/ou informatiques, l’exigence du gouvernement, d’une administration, d’une autorité civile ou militaire, le fait du prince, les actes ou omissions de transporteurs et les autres causes similaires échappant au contrôle de la Partie qui l’invoque.
Si une telle situation se produit, la Partie retardée ou incapable d’exécuter ses obligations doit aviser sans délai l'autre Partie et faire ses meilleurs efforts, dans la mesure du possible, pour réduire ou éliminer les effets de la Force Majeure. Si la Force Majeure empêche la Partie affectée de remplir seulement une Partie de ses obligations contractuelles, elle reste responsable de l’exécution des obligations qui ne sont pas affectées par la Force Majeure ainsi que de ses obligations de paiement. Si la Force Majeure subsiste au terme d’un délai de trente (30) jours et à défaut pour les Parties d’être convenues de modalités permettant de poursuivre leurs relations dans le cadre des Conditions, la Partie affectée par un retard ou l'incapacité de l'autre Partie à exécuter ses obligations peut résilier les Conditions.
18. Résiliation
En cas de manquement grave par une Partie à l’une de ses obligations au titre des Conditions, la Partie non-défaillante pourra refuser d’exécuter ou suspendre l’exécution de ses propres obligations et faire parvenir une notification écrite à la Partie défaillante faisant référence à la présente clause, lui demandant de remédier et de mettre fin à la violation contractuelle en question dans un délai de trente (30) jours et mentionnant expressément qu’à défaut pour la Partie défaillante de satisfaire à son obligation, la Partie non-défaillante sera en droit de résilier le compte Client et l’Abonnement.
Si la Partie défaillante ne remédie pas ou ne met pas fin à ladite violation contractuelle dans le délai de trente (30) jours à compter de la réception par elle de la notification écrite susvisée, la Partie non-défaillante pourra, en sus de tout autre recours ou remboursement dont elle pourrait disposer en vertu des Conditions ou de la loi, résilier le compte Client et l’Abonnement de plein droit avec effet immédiat en notifiant à la Partie défaillante les raisons qui la motivent.
Riot Security pourra également résilier le compte Client et l’Abonnement, et interdire l’accès à la Solution Riot et aux Services Cybersécurité immédiatement, sans préavis, en cas de manquement d’une particulière gravité de la part du Client, telle qu’une fraude ou atteinte grave aux systèmes de Riot Security mettant en danger l’intégrité de la Solution Riot et/ou des services fournis aux autres clients.
Si vous souhaitez résilier votre compte Client conformément aux Conditions, vous pouvez nous écrire à l’adresse électronique suivante : help@tryriot.com.
Toutes les dispositions des Conditions qui, par leur nature, devraient survivre à la résiliation, survivront à la résiliation, y compris, à titre non exhaustif, les dispositions relatives à la propriété, l’exonération de garantie, l’indemnisation et les limitations de responsabilité.
L’interruption définitive ou la suspension des prestations par Riot Security pour des raisons non imputables à une mauvaise utilisation de la Solution Riot et des Services Cybersécurité, un manquement à ses obligations au titre des Conditions par le Client ou un cas de Force Majeure pourra donner lieu à restitution du prix versé, au prorata de la période de prestations restant à courir en cas d’interruption définitive ou de la période suspendue.
19. Loi applicable – Compétence juridictionnelle
Les présentes Conditions seront régies et interprétées conformément à la loi française, à l’exclusion de ses dispositions en matière de conflit de lois.
Tout différend ou litige entre les Parties découlant du ou en relation avec les Conditions ou une violation de celles-ci, y compris, à titre non exhaustif, les questions relatives à leur interprétation, à leur signature, à leur exécution, à leur validité, à leur efficacité ou à leur résiliation, devra faire l’objet d’une tentative de règlement amiable entre les Parties.
Si ce différend ou litige ne peut pas être réglé à l'amiable par les Parties dans les trente (30) jours après la réception par l'une des Parties d'une notification écrite de l'autre Partie faisant référence au différend ou au litige, ledit différend ou litige sera de la compétence exclusive du tribunal de commerce de Paris.
20. Changements dans la Solution Riot et les Services Cybersécurité
Nous nous réservons le droit de retirer ou de modifier la Solution Riot et les Services Cybersécurité, et tout service ou matériel que nous fournissons via la Solution Riot et les Services Cybersécurité, à notre seule discrétion et sans préavis. De temps à autre, nous pouvons restreindre l’accès à certaines parties de la Solution Riot et des Services Cybersécurité, ou à l’ensemble de la Solution Riot et des Services Cybersécurité, aux Clients et aux Utilisateurs. Dans l’hypothèse où les modifications apportées par Riot Security impacteraient de façon très significative leurs fonctionnalités ou caractéristiques de sécurité essentielles, Riot Security s’engage à en informer rapidement le Client et à lui communiquer des modalités de résiliation de son Abonnement adaptées aux circonstances.
21. Modification des Conditions
Les Conditions peuvent être modifiées à tout moment par Riot Security. Le Client en recevra notification et les Conditions révisées prendront effet à la fin du Cycle de facturation alors en vigueur.
L’utilisation continue de la Solution Riot et des Services Cybersécurité après le renouvellement de votre Abonnement signifie que vous acceptez et consentez aux modifications. En continuant à accéder à la Solution Riot et aux Services Cybersécurité ou à les utiliser après l’entrée en vigueur de toute révision, vous acceptez d’être lié par les Conditions révisées.
Il est expressément convenu et accepté par le Client qu’il ne sera plus autorisé à utiliser la Solution Riot et les Services Cybersécurité en cas de non-acceptation des Conditions.
22. Non-renonciation
Aucune tolérance ou inertie, expresse ou tacite, de Riot Security du fait d’un manquement du Client dans l’exécution de ses obligations ne pourra être interprétée ou considérée comme constituant un accord ou une acceptation de cette violation et de toute autre violation du même type ou d’un autre type. Aucune tolérance ou inertie de Riot Security dans l’exercice de l’un de ses droits ne saurait constituer la renonciation à se prévaloir ultérieurement de ce droit ou être considérée comme affectant la validité des Conditions.
23. Intégralité
Les Conditions constituent l’intégralité de l’expression définitive et exhaustive de la volonté des Parties relative à l’objet des présentes et prévalent sur tous les accords ou contrats antérieurs, verbaux ou écrits, entre les Parties. Aucune explication ou information verbale donnée par l’une des Parties ne pourra altérer la signification et l’interprétation des Conditions.
24. Divisibilité
Au cas où l’une ou tout ou partie de l’une des stipulations des Conditions serait considérée non applicable, non valide ou illégale pour quelque raison que ce soit, ladite stipulation devra être appliquée dans la plus grande mesure du possible ou de ce qui est permis et les Conditions seront modifiées, dans la mesure du possible, de façon à donner un effet maximum à l’objectif initial et aux conséquences économiques pour les Parties, et les stipulations restantes des Conditions demeureront pleinement en vigueur et auront plein effet.
25. Intitulés des articles
Les intitulés des articles figurant dans les Conditions sont utilisés uniquement à titre de référence. En aucun cas, le contenu des articles et l’intention des Parties ne pourront être interprétés par référence à ces intitulés.
26. Reconnaissance
PAR L’UTILISATION DE LA SOLUTION RIOT ET DES SERVICES CYBERSÉCURITÉ OU D’AUTRES SERVICES FOURNIS PAR NOUS, VOUS RECONNAISSEZ AVOIR LU LES PRÉSENTES CONDITIONS ET ACCEPTEZ D’ÊTRE LIÉ PAR CES CONDITIONS.
Contactez-nous
Veuillez envoyer vos réactions, commentaires, demandes de soutien technique par courriel : support@tryriot.com.
Annexe 1 – Protection des données à caractère personnel
1. DÉFINITIONS
- 1.1 En vertu des présentes Conditions, Riot Security et le Client conviennent que les termes, qu’ils soient utilisés au singulier ou au pluriel, « données à caractère personnel », « traitement », « personne concernée », « mesures techniques et organisationnelles », « violation de données à caractère personnel », « autorité de contrôle » et « tiers » ont la signification qui leur est donnée dans la Réglementation Données Personnelles.
- 1.2 En outre :
- (i) « Sous-traitant ultérieur » désigne tout tiers que Riot Security peut engager conformément des présentes Conditions.(ii) « Pays tiers » désigne tout pays, territoire ou secteur spécifique au sein dudit pays situé hors de l’Union européenne (UE)/l'Espace économique européen (EEE)/le Royaume-Uni qui n'est pas reconnu par la Commission européenne ou par toute autorité compétente (y compris une autorité de contrôle) comme assurant un niveau de protection adéquat.
2. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT
- 2.1 En sa qualité de responsable de traitement, le Client est seul responsable de :
- (i) l'exactitude, la qualité et la licéité des données à caractère personnel transmises à Riot Security et des moyens par lesquels il a obtenu ces données à caractère personnel ;
- (ii) l’information des personnes concernées sur le traitement de données à caractère personnel effectué par Riot Security et ses Sous-traitants ultérieurs selon les modalités fixées par la Réglementation Données Personnelles ;
- (iii) si applicable, l’obtention de toute autorisation requise par la réglementation applicable aux fins du traitement des données à caractère personnel.
3. CONFORMITÉ AUX INSTRUCTIONS DOCUMENTÉES
- 3.1 Riot Security traite les données à caractère personnel conformément aux instructions documentées du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un Pays tiers, à moins qu'elle ne soit tenue d'y procéder en vertu d’une réglementation qui lui est applicable. Dans ce cas, Riot Security informe le Client de cette obligation juridique avant le traitement, sauf si la réglementation concernée interdit une telle information pour des motifs importants d'intérêt public.
- 3.2 Si Riot Security considère qu'une instruction du Client viole la Réglementation Données Personnelles ou les présentes Conditions (incluant ses annexes), Riot Security en informe immédiatement le Client.
4. MESURES DE SÉCURITÉ ET DE CONFIDENTIALITÉ
- 4.1 Riot Security met en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'annexe 3 des présentes Conditions, afin de garantir la protection des données à caractère personnel.
- 4.2 Riot Security assure la confidentialité des données à caractère personnel. A cette fin, Riot Security s’assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à en respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
- 4.3 Riot Security s’engage à ne pas divulguer les données à caractère personnel à des tiers non autorisés.
- 4.4 Riot Security limite l'accès aux données à caractère personnel aux seuls employés pour lesquels l'accès à ces données est nécessaire pour respecter les obligations de Riot Security conformément aux présentes Conditions.
5. OBLIGATION D'ASSISTANCE
- 5.1 Sur demande, Riot Security s'engage à mettre à la disposition du Client toute information utile afin d’aider le Client à se conformer aux obligations visées aux articles 32 à 36 du RGPD (sécurité du traitement - notification à l'autorité de contrôle et communication à la personne concernée en cas de violation des données à caractère personnel - analyse d’impact relative à la protection des données - consultation préalable de l'autorité de contrôle).
- 5.2 Dans la mesure du possible, Riot Security collabore dans la mesure du possible avec le Client pour l’aider à :
- (i) répondre aux demandes des personnes concernées qui exercent leurs droits conformément à la Réglementation Données Personnelles ;
- (ii) informer les personnes concernées du traitement de leurs données à caractère personnel ;
- (iii) obtenir un consentement valable des personnes concernées lorsque cela est requis.
6. AUDIT
- 6.1 Sur demande, Riot Security s'engage à mettre à la disposition du Client toute information nécessaire pour démontrer le respect des obligations prévues à l’article 28 du RGPD (sous-traitant).
- 6.2 Le Client est autorisé à effectuer les audits et inspections qu'il juge pertinents concernant le respect par Riot Security de ses obligations au titre de la présente annexe. Le Client devra informer Riot Security par écrit de son attention d’effectuer un audit ou une inspection (en indiquant le jour et l’objet) dans un délai minimum de quatorze (14) jours ouvrés avant son intervention.
- 6.3 Dans ce cadre, Riot Security coopère avec le Client dans la conduite de l'audit et lui fournit une assistance lorsque ce dernier le requiert.
7. VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
- 7.1 En cas de violation de données à caractère personnel, Riot Security doit en informer le Client dans les meilleurs délais et, en tout état de cause, dans les quarante-huit (48) heures après en avoir eu connaissance.
- 7.2 Cette information doit contenir toutes les informations suivantes concernant la violation des données à caractère personnel :
- (i) la nature de la violation des données à caractère personnel, en indiquant les catégories et le nombre (approximatif) de personnes concernées et de données à caractère personnel affectées ;
- (ii) les conséquences probables de la violation de données à caractère personnel ;
- (iii) une proposition de mesures à prendre pour remédier à la violation de données à caractère personnel, y compris (lorsque cela est approprié) les mesures visant à atténuer les éventuels effets négatifs de cette violation.
- 7.3 En aucun cas Riot Security ne procède à une notification de la violation à une autorité de contrôle ou aux personnes physiques, sans en informer préalablement le Client et sans obtenir l'approbation de ce dernier sur le contenu de la notification.
8. SOUS-TRAITANTS ULTÉRIEURS
- 8.1 Le Client autorise Riot Security à recourir à des Sous-traitants ultérieurs dans le cadre de la fourniture des Services Cybersécurité. Riot Security fournit au Client une liste à jour des Sous-traitants ultérieurs qui est disponible en ligne à l’adresse https://tryriot.com/subprocessors. Riot Security s'engage à notifier le Client par mail de tout ajout ou remplacement envisagé d'un Sous-traitant ultérieur dans un délai de vingt (20) jours avant ledit ajout ou remplacement. Riot Security permet au Client de s’inscrire pour recevoir les notifications des changements de Sous-traitants ultérieurs. Riot Security n’envoie de notifications des modifications de Sous-traitants ultérieurs qu’aux Clients s’étant abonnés par newsletter pour recevoir ces modifications, à l’adresse legal@tryriot.com. Si le Client ne s’inscrit pas à cette newsletter pour recevoir les notifications de changements de Sous-traitants ultérieurs et s’il ne consulte pas régulièrement la liste accessible en ligne, il ne pourra pas en tenir Riot Security pour responsable. Le Client peut de manière raisonnable et motivée s’opposer au recours à un Sous-traitant ultérieur, dans les quinze (15) jours suivant la réception de la notification.
- 8.2 Il incombe à Riot Security de s'assurer que le Sous-traitant ultérieur fournit des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Réglementation Données Personnelles. Avant d'engager un Sous-traitant ultérieur, Riot Security conclut un contrat écrit avec le Sous-traitant ultérieur contenant des obligations similaires à celles énoncées dans la présente annexe.
- 8.3 Riot Security demeure responsable envers le Client de l'exécution des obligations du Sous-traitant ultérieur en vertu de la présente annexe.
9. TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
- 9.1 En cas de transfert de données à caractère personnel vers un Pays tiers, Riot Security met en œuvre les garanties appropriées requises par la Réglementation Données Personnelles, en particulier en veillant à ce que ce transfert soit couvert par une décision d’adéquation de la Commission européenne ou par des clauses contractuelles types, ou en étant soumis à des règles d'entreprise contraignantes ainsi que, le cas échéant, en évaluant l'impact et la capacité de la législation du Pays tiers à garantir l’effectivité des droits des personnes concernées.
- 9.2 Riot Security garantit également que ses Sous-traitants ultérieurs sont tenus par des obligations similaires en matière de transfert de données à caractère personnel vers des Pays tiers.
10. FIN DU TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL
- 10.1 Au terme de la relation commerciale, au choix du Client, Riot Security supprime ou restitue intégralement les données à caractère personnel et, en tout état de cause, s’engage à n’en garder aucune copie et à ne plus les utiliser pour quelle que raison que ce soit, sauf pour la durée où leur archivage ou leur conservation est requis par les lois ou les réglementations en vigueur.
Annexe 2 – Description du traitement de données à caractère personnel
Finalité du traitement | Fourniture des Services Cybersécurité conformément aux présentes Conditions |
---|---|
Catégories des données à caractère personnel |
|
Catégories des personnes concernées | Employés du Client |
Catégories de destinataires |
|
Durée de conservation des données à caractère personnel | Durée de la relation commerciale entre Riot Security et le Client |
Annexe 3 – Description des mesures de sécurité
Les mesures de sécurité sont détaillées sur une page dédiée.
Annexe 4 – Clauses contractuelles types
(Transfert responsable de traitement à sous-traitant)
SECTION I
Clause 1
Finalités et champ d’application
- (a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.
- (b) Les Parties:(i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et(ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)
sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).
- (c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
- (d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.
Clause 2
Effet et invariabilité des clauses
- (a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
- (b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Clause 3
Tiers bénéficiaires
- (a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:
- (i) clause 1, clause 2, clause 3, clause 6, clause 7;(ii) clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e);(iii) clause 9, paragraphes a), c), d) et e);(iv) clause 12, paragraphes a), d) et f);(v) clause 13;(vi) clause 15.1, paragraphes c), d) et e);(vii) clause 16, paragraphe e);(viii) clause 18, paragraphes a) et b).
- (b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.
Clause 4
Interprétation
- (a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.
- (b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
- (c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.
Clause 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.
Clause 6
Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
SECTION II — OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
8.1. Instructions
- (a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
- (b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.
8.2. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.
8.3. Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les Parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les Parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4. Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5. Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6. Sécurité du traitement
- (a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les Parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
- (b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
- (c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.
- (d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.
8.7. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.
8.8. Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:
- (a) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
- (b) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;
- (c) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
- (d) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.9. Documentation et conformité
- (a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.
- (b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.
- (c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
- (d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
- (e) Les Parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
Clause 9
Recours à des sous-traitants ultérieurs
- (a) L’importateur de données à l'autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins vingt (20) jours ouvrés à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.
- (b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
- (c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.
- (d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.
- (e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
Clause 10
Droits des personnes concernées
- (a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.
- (b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les Parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.
- (c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.
Clause 11
Voies de recours
- (a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
- (b) En cas de litige entre une personne concernée et l’une des Parties portant sur le respect des présentes clauses, cette Partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
- (c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:
- (i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;(ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.
- (d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
- (e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.
- (f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12
Responsabilité
- (a) Chaque Partie est responsable envers la ou les autres Parties des dommages qu’elle cause à l’autre ou aux autres Parties du fait d’un manquement aux présentes clauses.
- (b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
- (c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
- (d) Les Parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.
- (e) Lorsque plusieurs Parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les Parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
- (f) Les Parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres Parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.
- (g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.
Clause 13
Contrôle
- (a) L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
- (b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des clauses
- (a) Les Parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
- (b) Les Parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:
- (i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;(ii ) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12);(iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
- (c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
- (d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
- (e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).
- (f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.
Clause 15
Obligations de l’importateur de données en cas d’accès des autorités publiques
15.1. Notification
- (a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):
- (i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.
- (b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
- (c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).
- (d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
- (e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.
15.2. Contrôle de la légalité et minimisation des données
- (a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
- (b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
- (c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV — DISPOSITIONS FINALES
Clause 16
Non-respect des clauses et résiliation
- (a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
- (b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).
- (c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:
- (i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;(ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou(iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.
- Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en soient convenues autrement.
- (d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
- (e) Chaque Partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.
Clause 17
Droit applicable
Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les Parties conviennent qu’il s’agit du droit de l’exportateur de données.
Clause 18
Élection de for et juridiction
- (a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.
- (b) Les Parties conviennent qu’il s’agit des juridictions de l’exportateur de données.
- (c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
- (d) Les Parties acceptent de se soumettre à la compétence de ces juridictions.
ANNEXE I
A. LISTE DES PARTIES
Exportateur de données : Le Client, tel que défini dans les Conditions.
Importateur de données : Riot Security, telle que définie dans les Conditions.
B. DESCRIPTION DU TRANSFERT
Comme décrit dans l’annexe 2 des Conditions.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Autorité de protection des données personnelles du Client.
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Comme listées dans l’annexe 3 des Conditions.
ANNEXE III
LISTE DES SOUS-TRAITANTS ULTÉRIEURS
Disponible sur demande du Client.