Condition Générales de signature

L’utilisation du Service de Signature Electronique, proposé par le Prestataire, implique l’acceptation des présentes. Toute stipulation contraire, non constatée par un écrit accepté par le Prestataire, est réputée non-écrite. Les conditions générales d’achat du Client sont non-opposables au Prestataire, même si celles-ci sont adossées à un devis ou un bon de commande émis par le Client et portant sur le Service de Signature Electronique proposé par le Prestataire.

Article 1. Définitions

Client : Personne morale ou personne physique agissant en qualité de professionnel et souhaitant utiliser le Service de Signature Electronique pour informer, valider, signer ou faire signer des Documents électroniquement.
Authentification : Processus qui vise à vérifier l’identité prétendue du Signataire.
Autorité de Certification (AC) : Autorité qui délivre des Certificats Electroniques.
Autorité de Certification Tierce (AC Tierce) : Autorité de Certification délivrant des Certificats Electroniques mais n’agissant pas sous le contrôle et la responsabilité du Prestataire.
Carnet d’adresse : Liste de Signataires, associée au compte client et incluant les données d’identification (nom, prénom, adresse e-mail, numéro de téléphone mobile, …).
Certificat Electronique : attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom de cette personne.
Certificat Electronique sur Support Cryptographique : Certificat Electronique sur support cryptographique physique détenu par le Signataire, délivré par une Autorité de Certification tierce au Contrat et permettant la réalisation de Signatures Electroniques.
Document(s) : Document électronique (contrat, avenant, bulletin de souscription, etc.), destiné à être validé ou signé via un procédé de Signature Electronique.
Données à Caractère Personnel : désigne toute information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Dossier de preuve : dossier compressé et scellé, généré par le Service de Signature Electronique, et regroupant les éléments factuels permettant de reconstituer le processus de signature électronique (contrats, annexes, journal d’événements, etc.). Il contient également le document lisible récapitulant les informations et événements de la transaction, appelé « Fichier de preuve ».
eIDAS (Règlement Européen) : RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive.
Jours : Lorsqu’un délai est fixé en jours sans précision, il s’entend en jours calendaires et il expire à la fin du dernier jour de la durée prévue. Tout délai commence à courir le lendemain du jour où s’est produit le fait qui sert de point de départ du délai.
Mois : Sauf dispositions contraires, lorsque le délai est fixé en mois, il est compté de quantième en quantième. S’il n’existe pas de quantième correspondant dans le mois où se termine le délai, celui-ci expire à la fin du dernier jour de ce mois. Lorsque le dernier jour d’un délai est un samedi, un dimanche ou un jour férié ou chômé, le délai est prolongé jusqu’à la fin du premier jour ouvrable qui suit.
One Time Password (OTP) : mot de passe à usage unique.
Responsable du Traitement : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement.
Service de Signature Electronique : désigne le service mis à disposition du Client par le Prestataire, permettant d’informer, de valider et de signer des documents, au moyen d’une Signature Electronique associée à un Certificat Electronique.
Signataire : Personne physique qui signe ou qui a signé un Document via le Service de Signature Electronique, dont les données d’identification (nom, prénom, adresse e-mail, numéro de téléphone mobile, …) auront été enregistrées dans le Carnet d’adresse associé au compte Client.
Signature Electronique : Ensemble des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le Signataire utilise pour signer.
Signature Electronique sans Vérification d’Identité : Signature électronique réalisée sans que l’identité du Signataire n’ait été vérifiée dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. Dans le cadre de l’utilisation d’une Signature Electronique sans Vérification d’Identité, l’Authentification du Signataire est réalisée par le Client sous sa responsabilité. La Signature Electronique sans Vérification d’Identité, telle qu’implémentée dans la Plateforme de Signature Electronique du Prestataire, est basée sur un Cachet Electronique Qualifié, un Horodatage électronique, et une Authentification à double facteur de type OTP (optionnelle). La vérification de l’identité des Signataires se fait sous la responsabilité du Client.
Signature Avancée avec Vérification d’Identité : signature électronique réalisée dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. L’identité du signataire a été vérifiée préalablement à distance par un prestataire de vérification d’identité à distance, partenaire du Prestataire, conformément à sa politique de vérification d’identité. La Signature Avancée convient à la majorité des usages qui ne nécessitent pas une Signature Qualifiée.
Signature Qualifiée : signature électronique réalisée dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. L’identité du signataire a été vérifiée préalablement lors d’un face-à-face en respectant les procédures imposées par l’Autorité de Certification. La Signature Qualifiée est présumée fiable et convient à des cas d’usages ayant besoin d’une force probatoire forte, tels que la signature d’actes authentiques.
Cachet Electronique Qualifié : cachet électronique de personne morale réalisé dans des conditions conformes aux exigences du Règlement « eIDAS » n°910/2014 du 23 juillet 2014. L’authentification de la personne morale apposant le cachet a été réalisée préalablement en respectant les procédures imposées par le Prestataire.
Sous-Traitant : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données à Caractère Personnel pour le compte du Responsable du Traitement.
Traitement : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à Caractère Personnel ou des ensembles de Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Article 2. Objet du service

Les présentes conditions générales d’utilisation ont pour objet de définir les conditions d’utilisation par le Client et les modalités de mise à disposition par le Prestataire du Service de Signature Electronique.
Le Prestataire met à disposition du Client un dispositif, objet des présentes conditions générales d’utilisation, permettant d’informer, de valider et de contractualiser par voie électronique, au moyen d’une Signature Electronique associée à un Certificat Electronique émis pour la signature d’un/plusieurs Documents.

Article 3. Description du Service de Signature Electronique

Le Service de Signature Electronique permet au Client :

  • D’éditer et de générer des Documents à partir de modèles combinés avec des règles et des données métier ;
  • D’envoyer ou de présenter au(x) Signataire(s) les Documents pour visa ou signature ;
  • De signer et faire signer, au sens du Règlement Européen eIDAS, des Documents par voie électronique ;
  • De consulter les Documents signés ;
  • d’injecter dans les Documents des données métier provenant d’autres systèmes, saisies par les utilisateurs ou saisies par les Signataires, et d’exploiter ces données manuellement ou automatiquement ;
  • De collecter auprès des Signataires des documents ou des informations liés aux Documents ;
  • De programmer des campagnes de signature pour faire signer un grand nombre de Documents à des Signataires différents automatiquement ;
  • De connecter d’autres systèmes d’information en amont ou en aval des opérations pour déclencher des transactions ou pour en récupérer le résultat ;

Le Service de Signature Electronique permet de réaliser selon des options souscrites par le Client :

  • Des Signatures Electroniques sans Vérification d’Identité : la vérification de l’identité des Signataires relève de la responsabilité exclusive du Client
  • Des Signatures Avancées avec Vérification d’Identité : une vérification automatisée par un prestataire de vérification d’identité à distance permet d’évaluer le niveau de fiabilité de l’identité de chaque signataire, sans toutefois en garantir l’authenticité.
  • Des Signatures Qualifiées : pour réaliser la signature, chaque signataire doit disposer d’un Certificat Electronique sur Support Cryptographique qualifié au sens du Règlement « eIDAS » n°910/2014 du 23 juillet 2014 et délivré par une Autorité de Certification. La vérification de l’identité des signataires relève de la responsabilité exclusive de l’Autorité de Certification ayant délivré les Certificats Electroniques.

Article 4. Acceptation et modification des présentes

Le Client doit obligatoirement accepter expressément et sans réserve les présentes Conditions Générales d’Utilisation du Service de Signature Electronique (CGU) préalablement à l’utilisation de ce dernier. Dans le cas où le Client ne souhaiterait pas accepter les présentes CGU, il devra s’abstenir d’accéder au Service de Signature Electronique.
Le Prestataire se réserve le droit de modifier les termes, conditions et mentions des présentes CGU, afin d’en assurer la conformité avec le Règlement « eIDAS » n°910/2014 du 23 juillet 2014.

Article 5. Prérequis et mise à disposition du Service de Signature Electronique

Le service concerne la signature électronique de documents en face à face (applications mobiles), en ligne sur le web ou à distance en mode web, selon la commande du client, ainsi que l’accès au tableau de bord administratif des contrats signés et au portail collaboratif associé.
Afin de pouvoir accéder au Service de Signature Electronique, le Client et le Signataire doivent disposer :

  • d’un terminal (PC, téléphone mobile, tablette, …)
    • leur permettant d’accéder à internet,
    • leur permettant de recevoir un OTP envoyé par SMS, email, …
  • d’un navigateur,
  • d’un accès au réseau internet.
  • pour réaliser des Signatures Qualifiées : d’un Certificat Electronique sur Support Cryptographique. Le certificat et le support cryptographique devront être Qualifiés au sens du Règlement « eIDAS » n°910/2014 du 23 juillet 2014 et l’Autorité de Certification délivrant le Certificat Electronique devra être acceptée par le Prestataire préalablement à toute utilisation. La liste des Autorités de Certification acceptées par le Service de Signature Electronique est disponible sur simple demande.

Article 6. Mise à disposition et accès au Service de Signature Electronique

La documentation d’utilisation relative aux applications informatiques est disponible, notamment, en ligne.
Le Prestataire réalisera les prestations d’assistance au démarrage décrites dans le bon de commande, notamment le paramétrage des fonctionnalités des applications informatiques hébergées. Dès signature des présentes et sous réserve des paiements correspondant aux services choisis, le Prestataire fournira au client un identifiant lui permettant d’accéder aux services depuis le portail. A sa première utilisation, chaque utilisateur recevra un courriel de la part du Prestataire afin de valider son adresse courriel. Il pourra alors choisir un mot de passe. L’utilisation des services SaaS vaut recette desdits services. L’identification du Client ou d’un utilisateur au moyen de l’identifiant qui lui a été adressé ou de son adresse courriel, et du mot de passe qu’il aura choisi, vaut de manière irréfragable imputabilité au client des opérations effectuées au moyen de ce mot de passe et de cet identifiant. Le Prestataire affecte au Client un quota d’espace disque, dédié à l’hébergement du contenu hébergé. Le volume de cet espace disque est défini dans le bon de commande, ou à défaut est de 5 Giga-octets pour l’ensemble des licences figurant sur une même facture. Le Client peut commander de l’espace de stockage supplémentaire. Toute consommation d’espace au-delà du quota pourra être facturée de plein droit aux tarifs en vigueur. Sur commande du Client, le Prestataire pourra réaliser les prestations de formation des utilisateurs. L’ensemble des frais et honoraires seront facturés au Client sur la base du catalogue annuel des prestations du Prestataire au jour de la demande. Si le Client commande la prestation correspondante (base de données dédiée encryptée), le Prestataire s’engage à chiffrer les données et les documents.
L’identification et le mot de passe du Client et de tous ses utilisateurs sont confidentiels, uniques et personnels. Le Client est seul responsable de leur utilisation.
Le Client s’engage à ce que chaque utilisateur garde secret le mot de passe qu’il aura choisi. Le Prestataire autorise une seule connexion à la fois par identifiant et mot de passe. En cas de perte ou de vol de son mot de passe, le Client ou l’Utilisateur s’engage à modifier le mot de passe en utilisant la fonctionnalité du service prévue à cet effet.
Le Prestataire s’engage à rendre accessible 7 jours sur 7 et 24 heures sur 24 les applications informatiques distantes. Le Prestataire se réserve toutefois le droit de restreindre, totalement ou partiellement, l’accès aux services afin d’assurer la maintenance, dans le cadre de prestations programmées, de sa configuration informatique et des infrastructures mises en oeuvre pour la fourniture des services. Dans la mesure du possible, le Prestataire tentera de ne pas rendre indisponibles les applications informatiques pendant un temps excessif. Le Prestataire pourra interrompre à tout moment et sans préavis la connexion du serveur ou l’accessibilité du contenu hébergé si le Client manque à ses obligations, en particulier, s’il apparaît que le contenu hébergé constitue une menace pour la sécurité du réseau du Prestataire, au regard des règles de l’art. Si le Prestataire se trouve contraint de prendre des mesures de sécurisation, de sauvegarde et/ou de réinstallation du Serveur, d’autres équipements de son réseau ou de logiciels, du fait du risque créé par le contenu du Client hébergé par le Prestataire, ces prestations pourront être facturées au client.
En cas de non-respect de ses obligations par le Client, le Prestataire se réserve le droit de suspendre de plein droit et sans préavis l’accès au Service de Signature Electronique.

Article 7. Obligations des parties

Le Prestataire s’engage :

  • à mettre en oeuvre et à maintenir pour le fonctionnement du Service, les dispositifs informatiques et matériels garantissant la valeur juridique des Documents signés via la Signature Electronique,
  • à mettre en place tous les moyens appropriés pour garantir la sécurité, l’intégrité et la confidentialité du contenu transitant sur la plateforme,
  • à informer et conseiller le Client sur les principaux niveaux de signatures et leurs usages. Toutefois, le Prestataire ne prend aucun engagement sur la conformité des prestations qu’il fournit à des règlementations « métier » applicables au Client.
  • à accompagner le Client et ses Conseils, en cas de contentieux lié à la validité des Signatures Electroniques réalisées par le Service de Signature Electronique. Notamment, le Prestataire s’engage à mettre à disposition du Client le Dossier de Preuve pour chaque signature, conformément à la Politique de Gestion des Preuves disponible sur simple demande et accessible depuis le Service de Signature Electronique
    Le Client s’engage :
  • à collaborer avec le Prestataire de manière active et lui communiquer toute information lui permettant de comprendre son besoin,
  • à s’assurer qu’il n’est pas soumis à des obligations exigeant des niveaux ou des types de Signature Electronique spécifiques.
  • à utiliser le Service de Signature Electronique conformément à sa destination et dans le respect des présentes CGU et des dispositions légales et réglementaires applicables,
  • à vérifier les informations saisies lors de la création des transactions de Signatures Electroniques, notamment l’identité, l’adresse mail et le numéro de mobile de chaque Signataire.
  • à prendre connaissance et accepter la politique de gestion des preuves du Prestataire et le cas échéant la politique de certification de l’Autorité de Certification, la politique de vérification d’identité du prestataire de vérification d’identité à distance et la politique d’archivage du tiers de confiance mentionné dans le bon de commande. Les différentes politiques sont disponibles sur simple demande.

Afin de garantir le bon fonctionnement du service pour l’ensemble de ses clients, le Prestataire se réserve le droit de suspendre l’accès à la solution de manière temporaire ou définitive en cas d’utilisation abusive par le Client (exemple : spams, envoi de communication vers des emails incorrects, etc.).

Article 8. Convention de preuve

Le Client convient expressément que tout Document signé de manière dématérialisée au moyen du Service de Signature Electronique, dans le respect des présentes Conditions Générales d’Utilisation, constitue l’original du Document. Par conséquent, le Document aura la même valeur probante qu’un écrit sur support papier revêtu d’une signature manuscrite, sera opposable au Client et au Signataire et pourra être produit en justice, à titre de preuve littérale.
Afin de pouvoir produire le Document signé électroniquement en justice, le Client pourra être amené à apporter la preuve de la vérification des informations d’identité du Signataire tels que ses nom(s), prénom(s), adresse mail et numéro de téléphone mobile, ayant servi à la réalisation de la Signature Electronique. Pour la Signature Electronique sans Vérification d’Identité, le Prestataire préconise qu’une vérification de la pièce d’identité en cours de validité du Signataire soit effectuée par le Client préalablement à l’enregistrement de celui-ci sur le Service de Signature Electronique.
Le Client accepte que les transactions conclues et archivées par le Prestataire, en tout ou partie, dans le cadre du Service de Signature Electronique, les preuves de connexion, les pistes d’audit, les pièces justificatives, les courriers électroniques, soient admissibles devant les Tribunaux et fassent preuve des données et des éléments qu’ils contiennent.

Article 9. Données personnelles

9.1. Données personnelles traitées par l’Autorité de Certification pour la délivrance des Certificats

Les Données à Caractère Personnel recueillies par l’Autorité de Certification, sont indispensables pour l’exécution du contrat, dans le respect des règlementations applicables, notamment du règlement (UE) 2016/679 du 27 avril 2016. Le responsable du traitement est l’Autorité de Certification délivrant les Certificats Electroniques nécessaires à la Signature Electronique des Documents.
Le traitement a pour finalité de permettre la gestion du cycle de vie des Certificats Electronique et des Signatures Electroniques, le support technique les accompagnant, et le cas échéant, la facturation. Les données à caractère personnel collectées par l’Autorité de Certification sont conservées pour la durée prévue par la Politique de Certification. Les données à caractère personnel collectées sont traitées et hébergées en France et en Union Européenne. Les données à caractère personnel traitées sont destinées aux services internes de l’Autorité de Certification et à ses éventuels sous-traitants.
Les personnes concernées disposent d’un droit d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition et d’un droit à la portabilité, dans les conditions prévues par le règlement (UE) 2016/679 du 27 avril 2016, ainsi que du droit de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs données à caractère personnel après leur décès. Les personnes concernées peuvent exercer ces droits en contactant le Prestataire par courrier postal à l’adresse « Oodrive, DPO, 26 rue du Faubourg Poissonnière, 75010 Paris, France » ou sur privacy@oodrive.com. Les personnes concernées disposent de la faculté d’introduire une réclamation auprès du Délégué à la Protection des Données ou DPO de l’Autorité de Certification sur privacy@oodrive.com ou, le cas échéant, auprès de l’autorité de contrôle.

9.2. Traitements réalisés par le Client

Le Client peut intégrer le Service de Signature Electronique dans son propre traitement de données à caractère personnel. A ce titre, le Client est Responsable du Traitement et le Prestataire est Sous-Traitant du Client. La prestation effectuée par le Prestataire consiste à héberger et proposer un Service de Signature Electronique de Documents en mode SaaS (Software as a Service), utilisant des Données à Caractère Personnel des Signataires et des préposés du Client, utilisateurs du Service de Signature Electronique.
Le Prestataire et le Client s’engagent à respecter, pour le Traitement de Données à Caractère Personnel, les lois relatives à la protection des Données à Caractère Personnel, notamment le Règlement (UE) 2016/679 sur la protection des données (ci-après « RGPD »).
Le Prestataire s’engage à traiter les Données à Caractère Personnel dans le respect des présentes CGU, et le cas échéant de toute instruction documentée émanant du Client, sans en faire un quelconque usage pour son propre compte, ainsi qu’à les traiter de manière loyale et licite, conformément aux principes prévus aux articles 5 et 6 du RGPD, et à préserver leur confidentialité.
Le Prestataire s’engage à porter assistance au Client afin de lui permettre de répondre à toute demande d’exercice de droits par les personnes concernées, et/ou toute demande d’information émanant d’autorités de contrôle, administrations ou juridictions habilitées à formuler une telle demande.
Le Prestataire devra notamment, au plus tard dans un délai de dix (10) jours ouvrés à compter de la demande du Client, communiquer toutes les informations et réaliser toutes les actions permettant au Client de satisfaire à une demande d’exercice des droits émanant d’une personne concernée par le Traitement au titre des articles 12 à 20 du RGPD.
Le Prestataire s’engage à informer dans les meilleurs délais le Client de toute demande qui lui serait adressée directement, et plus généralement de tout événement affectant le Traitement des Données à Caractère Personnel, et à l’informer expressément avant d’accéder à toute demande émanant d’une personne concernée, ou d’une administration / juridiction habilitée à formuler une telle demande, sauf si la loi l’interdit.
Les Données à Caractère Personnel objets du Traitement réalisé par le Client seront traitées pendant la durée du Contrat.
Au terme du Contrat, ou le cas échéant lorsque la conservation des Données à Caractère Personnel objets du Traitement par le Prestataire n’est plus légitime, ou lorsque la durée du Traitement touche à sa fin, le Prestataire s’engage à retourner au Client, s’il en fait la demande, les Données à Caractère Personnel, puis à les détruire, selon les instructions du Client, dans les meilleurs délais et dans le respect des conditions prévues par le Contrat, à moins que la loi applicable n’exige leur conservation. Il est précisé que le Prestataire conservera, le cas échéant, les Données à caractère personnel traitées dans le cadre de l’activité de l’AC (voir « Données personnelles traitées par l’AC » ci-dessus) conformément à la Politique de Certification de l’AC.
Le Prestataire s’engage à prendre toutes précautions utiles, au regard de la nature des Données à Caractère Personnel et des risques présentés par le Traitement, pour préserver la sécurité des Données à Caractère Personnel et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Le Prestataire s’engage dans ce cadre à mettre en place toutes mesures techniques et organisationnelles de sécurité et de confidentialité appropriées, à documenter et à pouvoir apporter la preuve de ces démarches. Les dispositifs cryptographiques (signature, chiffrement) conformes à la norme RGS de l’ANSSI sont utilisés pour la protection des données personnelles.
Le Prestataire s’engage à veiller à ce que seuls ses personnels autorisés à traiter les Données à Caractère Personnel aux fins de l’exécution du Contrat, y aient accès dans la stricte limite de ce qui est nécessaire à l’accomplissement de leurs fonctions, et à ce que ses personnels s’engagent à respecter la confidentialité des Données à Caractère Personnel.
Le Prestataire confirme ne pas transférer, et veille à ce que ses éventuels Sous-Traitants ne transfèrent pas non plus de Données à Caractère Personnel vers un pays tiers hors UE, ne bénéficiant pas de décision d’adéquation telle que prévue par l’article 45 du RGPD.
Le Client est averti que le Prestataire utilise des Sous-Traitants dans le cadre de la fourniture du Service de Signature Electronique, ce que le Client déclare accepter. La liste des Sous-Traitants à la date d’entrée en vigueur du Contrat est disponible à tout moment sur simple demande du Client.
Le Prestataire s’engage à ne pas faire appel à de nouveaux Sous-Traitants, sans en informer le Client. Le Prestataire s’engage à ne pas remplacer un Sous-Traitant existant sans en informer le Client. En cas de remplacement d’un Sous-Traitant existant, le Client peut faire valoir des objections raisonnables que le Prestataire s’engage à étudier. Si le Prestataire ne tient pas compte des objections raisonnables du Client, ce dernier est fondé à résilier le Contrat sans avoir à verser la moindre indemnité de rupture, à tout moment dans les six (6) mois suivant l’information relative au remplacement du Sous-Traitant, en respectant un préavis de deux (2) mois. Le Prestataire s’engage à imposer par contrat à ses éventuels Sous-Traitants les mêmes obligations en matière de protection de Données à Caractère Personnel que celles fixées par le présent article. Le Prestataire s’engage notamment à assurer au Client que ses Sous-Traitants présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées et conformément au RGPD, et que ces derniers aient l’interdiction de sous-traiter sans l’accord préalable et exprès du Prestataire. Le Prestataire reconnait être pleinement responsable vis-à-vis du Client si ses Sous-Traitants ne remplissent pas leurs obligations en matière de protection de Données à Caractère Personnel.
En cas d’incidents ou de violation de Données à Caractère Personnel, affectant le Traitement, le Prestataire s’engage à informer le Client dans les meilleurs délais et si possible dans les quarante-huit (48) heures ouvrées après en avoir pris connaissance, et à prendre toutes mesures correctives appropriées. Le Prestataire s’engage notamment à communiquer dans les meilleurs délais au Client tous les éléments dont il dispose concernant les conditions entourant l’incident de sécurité, dont notamment la nature et l’étendue des Données à Caractère Personnel impactées, le nombre de personnes concernées, les conséquences probables et les conditions techniques dans lesquelles l’incident a eu lieu.
Le Prestataire s’engage à coopérer avec le Client et à prendre toute mesure imposée par le RGPD, et/ou raisonnablement demandée par le Client, notamment en cas de contrôle de l’autorité de contrôle.
Le Prestataire s’engage à mettre à disposition du Client tous les éléments nécessaires pour démontrer le respect des obligations prévues par toutes lois et textes en vigueur relatifs à la protection des Données à Caractère Personnel et prévues au présent article. Certains éléments confidentiels tels que des procédures de sécurité, seront mis à disposition uniquement dans le cadre d’une consultation dans les locaux du Prestataire.
Le Prestataire informera immédiatement le Responsable du Traitement si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions des lois et règlementations applicables et relatives à la protection des Données à Caractère Personnel.
Le Prestataire s’engage à fournir toute assistance raisonnable au Client dans le cadre d’éventuelles analyses d’impact relatives à la protection des Données à Caractère Personnel, ou dans le cadre de procédures menées par une autorité de contrôle.
Enfin, le Prestataire s’engage à informer sans délai le Client en cas de contrôle de l’autorité de contrôle, ou de toute autorité administrative ou judiciaire, concernant le Traitement de Données à Caractère Personnel mis en oeuvre dans le cadre de l’utilisation du Service de Signature Electronique.
Le Prestataire s’engage à permettre la réalisation d’audits par le Client ou par tout autre auditeur mandaté par ce dernier, portant sur les mesures de protection des Données à Caractère Personnel, mais également afin de répondre à toute demande d’une autorité judiciaire ou administrative, et à contribuer à ces audits. Les audits sont réalisés aux frais du Client. Les audits réalisés par le Client dans les locaux du Prestataire ou de ses Sous-Traitants sont limités à un audit par an. Le temps passé par les équipes du Prestataire pour répondre aux auditeurs, pourra être facturé au temps réel. Le Client devra avertir le Prestataire préalablement en respectant un préavis de trente (30) jours et en communiquant l’identité du ou des auditeurs ainsi que le plan d’audit. Le Prestataire se réserve la possibilité de refuser tout auditeur qui exercerait une activité concurrente du Prestataire. Si les conclusions des audits révèlent des non conformités par rapport aux obligations incombant au Prestataire dans le cadre du présent article, Le Prestataire devra prendre les mesures nécessaires pour y remédier dans les meilleurs délais et sans frais supplémentaires pour le Client, sous réserve que ces mesures n’entrainent pas une modification substantielle de l’économie du Contrat.
Le Prestataire déclare disposer d’un Délégué à la Protection des Données (« DPO »), en charge des questions relatives aux Données à Caractère Personnel objets du Traitement. Le DPO veillera à ce que les Traitements de Données à Caractère Personnel effectués dans le cadre du Contrat soient conformes au RGPD. Le DPO est joignable sur privacy@oodrive.com.
Le Client choisit seul et de manière autonome les catégories de personnes concernées par le Traitement qu’il met en oeuvre. A ce titre, le Client s’engage à recueillir le consentement des personnes concernées si cela s’avère nécessaire, et à être en mesure d’en apporter la preuve.
Le Client, en sa qualité de Responsable de Traitement, s’assure que les informations prévues aux articles 13 et 14 du RGPD ont bien été communiquées aux personnes, selon les modalités requises.
Le Client est averti que le Prestataire s’interdit de prendre connaissance des données de toutes sortes, y compris des Données à Caractère Personnel, hébergées dans le cadre de l’utilisation des Services par le Client, à l’exception des informations nécessaires à la génération du Certificat Electronique par l’AC.
Le Client s’engage à ne pas utiliser le Service de Signature Electronique dans le cadre du Contrat, pour traiter des Données à Caractère Personnel dites « sensibles » au sens des articles 9 et 10 du RGPD. A défaut, tout Traitement de Données à Caractère Personnel « sensibles » devra être signalé au Prestataire par écrit et sans délai et se fera sous l’entière responsabilité du Client.
Le Client s’engage à communiquer au Prestataire les coordonnées de son DPO et/ou de la personne en charge de la protection des Données à Caractère Personnel. A défaut, les notifications, communications et autres alertes seront envoyées par le Prestataire au contact habituel du Client connu par le Prestataire ou à l’adresse du siège social du Client.

Article 10. Droit de propriété intellectuelle

Le Client reconnaît les droits de propriété intellectuelle du Prestataire sur toute documentation communiquée par le Prestataire, sur les marques Oodrive, et plus généralement sur le Service de Signature Electronique des Documents. Pour le monde entier, le Prestataire concède au Client un droit d’utilisation à distance, personnel, non exclusif et non transmissible du Service de Signature Electronique aux fins de signature des Documents dans le respect des présentes.

Article 11. Contrôle des exportations

Le Service de Signature Electronique ne pourra être utilisé dans les pays faisant l’objet de sanctions ou de mesures restrictives par la France, l’Union Européenne ou les Etats-Unis. Pour toute utilisation du Service de Signature Electronique hors de France, le Client aura la qualité d’exportateur au sens des lois et règlementations relatives au contrôle des exportations et fera son affaire, le cas échéant, d’obtenir les autorisations et licences correspondantes.

Article 12. Personnel d’Oodrive

Oodrive s’engage à respecter les dispositions de l’article L8221-1 du Code du travail relatif à l’interdiction du travail dissimulé.
Oodrive atteste sur l’honneur que les prestations sont réalisées avec des salariés employés régulièrement au regard des articles L1221-10, L3243-2 et R 3243-1 du Code du travail et qu’en cas d’emploi de salariés de nationalité étrangère, ces derniers seront dans une situation régulière, les autorisant à exercer une activité professionnelle en France.
A défaut, Oodrive s’engage à l’égard du Client et ce, de manière irrévocable, à garantir ce dernier de toutes les conséquences liées au manquement des obligations susvisées.

Article RSE

Les Parties reconnaissent l’importance de la responsabilité sociétale et environnementale (RSE) dans leurs activités commerciales et conviennent de s’engager conjointement à promouvoir des pratiques commerciales durables et socialement responsables.
Les Parties s’engagent à respecter toutes les lois, réglementations et normes applicables en matière de RSE, y compris, mais sans s’y limiter, les principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, ainsi que les objectifs de développement durable des Nations Unies.
Chaque Partie s’engage à mettre en oeuvre des politiques internes et des procédures pour garantir la conformité aux normes RSE.
Les Parties reconnaissent l’importance de la protection de l’environnement et s’engagent à réduire leur empreinte environnementale autant que possible. Elles conviennent de promouvoir des pratiques écologiquement durables dans le cadre de leurs activités commerciales.
Les Parties reconnaissent l’importance de la responsabilité sociale envers leurs employés, leurs fournisseurs, leurs Clients et de l’entreprise en général.
Chaque Partie s’engage à promouvoir des conditions de travail équitables, à respecter les droits de l’homme, à lutter contre la discrimination et à contribuer positivement au bien-être des salariés.

Article 13. Limites de responsabilité

Le Prestataire s’engage à réaliser les Signatures Electroniques conformément au règlement européen eIDAS, en fonction du niveau de Signature Electronique choisi. A ce titre, il s’engage à respecter les exigences du règlement européen eIDAS et des normes qui l’accompagnent. La responsabilité du Prestataire ne saurait être engagée pour des dommages subis par le Client, le Signataire ou un tiers quelconque et qui feraient suite à une usurpation d’identité ou à la communication d’informations fausses ou erronées par le Client, le Signataire ou toute personne indépendante du Prestataire et intervenant dans le processus de signature. Le Prestataire ne donne aucune garantie contre les usurpations d’identité sauf à ce qu’il soit démontré que celle-ci n’a été rendue possible que par le non-respect par le Prestataire de ses engagements contractuels. Le Prestataire se réserve le droit de poursuivre en justice tout utilisateur du Service de de Signature Electronique qui aurait communiqué ou tenté de communiquer volontairement de fausses informations, ayant pour effet de rendre invalide la Signature Electronique réalisée.

Le Client agit dans un cadre professionnel, sans avoir la qualité de consommateur et renonce à se prévaloir de la protection accordée aux consommateurs. La responsabilité éventuelle du Prestataire en raison de la fourniture du Service de Signature Electronique est limitée aux seuls dommages directs et prévisibles, prouvés par le Client et résultant exclusivement et directement d’une inexécution fautive par le Prestataire de ses obligations contractuelles. En outre, le Prestataire ne peut en aucun cas être tenu responsable de tout dommage indirect tels que notamment perte de profit et de clientèle, perte de revenus ou de renommée, perte d’usage et/ou autres dommages non prévisibles, et ce, même si le Prestataire était informé de la possibilité de survenance de tels dommages.
En cas de défaillance du Prestataire, le Client aura la faculté, sous réserve de prouver la faute du Prestataire à l’origine de cette défaillance, de solliciter la réparation du préjudice direct dont il apporterait la preuve.La responsabilité totale du Prestataire par année contractuelle et par sinistre, ne pourra être supérieure au montant payé par le Client au titre du Contrat pour l’année contractuelle en cours.
Pour la Signature Electronique sans Vérification d’Identité :
La responsabilité du Prestataire ne saurait être engagée pour des préjudices directs ou indirects ayant pour origine une invalidation de signature électronique pour défaut ou insuffisance d’authentification du signataire, celle-ci étant placée sous l’entière responsabilité du Client.
Pour la Signature Avancée avec Vérification d’Identité :
Une vérification automatisée d’un document d’identité est réalisée préalablement à chaque signature, sans toutefois garantir l’authenticité du document d’identité. La responsabilité du Prestataire ne saurait être engagée pour des préjudices directs ou indirects ayant pour origine l’utilisation par les Signataires de faux documents d’identité.
Pour la Signature Qualifiée :
La vérification de l’identité du Signataire est réalisée par l’Autorité de Certification au moment de la délivrance du Certificat Electronique. La responsabilité du Prestataire ne saurait être engagée pour des préjudices directs ou indirects ayant pour origine une invalidation de signature électronique pour défaut ou insuffisance d’authentification du signataire, celle-ci étant placée sous l’entière responsabilité de l’Autorité de Certification ayant délivré le Certificat Electronique.