Conditions générales du traitement des données personnelles des services PVSOFT et ENERGYSOFT

Article 1 – Objet

Les présentes conditions ont pour objet de définir les conditions dans lesquelles S4E (ci-après « S4E » ou le « Sous-traitant »), s’engage à effectuer pour le compte de l’utilisateur (ci-après « Utilisateur » ou le « Responsable de traitement »), les opérations de traitement de données à caractère personnel définies ci-dessous. S4E et l’Utilisateur sont dénommées ensemble les « Parties » et individuellement la « Partie ».

Ces conditions résilient et remplacent toutes conditions, contrats antérieurs entre les Parties ayant le même objet. Dans le cadre du présent accord, l’Utilisateur agit en qualité de Responsable de traitement et S4E agit en qualité de Sous-traitant au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, le « Règlement européen sur la protection des données »).

S4E est qualifiée de responsable de traitement lorsqu’elle détermine les finalités et les moyens de ses traitements de données à caractère personnel. C’est notamment le cas, lorsqu’elle traite les coordonnées d’une personne physique (interlocuteur de l’entreprise utilisatrice) dans le cadre d’une demande d’assistance.

Les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement européen sur la protection des données.

Article 1 – Définitions

Donnée(s) personnelle(s) ou Données à caractère personnel : désigne toute information relative à une personne physique identifiée ou identifiable au sens du Règlement européen sur la protection des données, que le Sous-traitant traite pour le compte du Responsable de traitement.

Violation de Données personnelles : signifie une violation de la sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation ou l’accès non autorisé, aux Données personnelles transmises, stockées ou autrement traitées.

Traitement : désigne toute opération ou ensemble d’opérations effectuées sur des Données personnelles, englobant la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou combinaison, restriction ou effacement de Données personnelles.

Article 2 – Détails du Traitement

a. Types de Données personnelles : Informations de contacts, dont adresses électroniques, adresse postale, latitude et longitude de l’installation, numéros de téléphones, nom, prénom, préférences, données de connexion, mesures de compteurs énergétiques, capteurs ou assimilés, collectées sur site et tout autre type de données déterminées et contrôlées par l’Utilisateur à sa seule discrétion, dans le cadre de son usage et de son paramétrage des services de S4E.

b. Catégories de personnes concernées : Toutes catégories de personnes concernées (personnes physiques) déterminées et contrôlées par l’Utilisateur à sa seule discrétion, à savoir notamment : – Toute personne (clients, salariés, sous-traitants, etc.) dont l’adresse électronique et/ou numéro de téléphone est/sont enregistrés comme utilisateurs du service ; ou propriétaire (personne physique) de toutes installations énergétique dont les informations de fonctionnements (lieu de l’installation, production prévisionnelle, etc..) sont stockées ou collectées (mesures de production ou consommation) via les services.

c. Finalité et type du Traitement : L’objet du Traitement des Données personnelles par le Sous-traitant est la fourniture des services au Responsable de traitement qui implique le Traitement des Données personnelles et l’exécution des obligations du Sous-traitant dans le cadre de l’accord et de toutes conditions convenues entre les Parties. Le Sous-Traitant met à disposition des logiciels permettant le suivi de la production, de la consommation et de la performance énergétique, ainsi que des prestations annexes. Les services peuvent notamment comprendre : la collecte des mesures de production et consommation et de capteurs annexes, l’analyse de la performance de la production, etc. Les Données personnelles seront soumises aux activités de Traitement telles que spécifiées dans les conditions générales, les informations convenues lors de toute commande et le cas échéant, dans toutes conditions particulières.

d. Durée du Traitement : Les Données personnelles seront traitées pour la durée des relations contractuelles entre les Parties.

Article 3 – Obligations des Parties

3.1. Obligations de l’Utilisateur

L’Utilisateur est responsable des Traitements réalisés au titre des services souscrits. Il est, de ce fait, seul responsable des Données personnelles qu’il utilise, fournit et stocke par le biais des services de S4E. A ce titre, l’Utilisateur est seul responsable des obligations qui lui incombent en sa qualité de Responsable de traitement au regard de la réglementation en vigueur applicable au Traitement de données à caractère personnel et, en particulier, le Règlement européen sur la protection des données.

L’Utilisateur s’engage à :

1. fournir à S4E les Données personnelles nécessaires à l’exécution des services souscrits. Il doit veiller à ne pas fournir de données dites sensibles au sens de la réglementation sur la protection des données à caractère personnel;

2. documenter toute instruction concernant le Traitement des Données personnelles par S4E. Il est entendu que les modalités d’utilisation des services et le présent accord vaudront instruction adressée à S4E quant au Traitement à mettre en oeuvre. Les instructions supplémentaires ou dérogatoires nécessitent un accord écrit entre les Parties. Elles doivent initialement être spécifiées par écrit lors de la commande des services et peuvent, à tout moment, avec l’accord écrit préalable de S4E, être modifiées, complétées ou remplacées à la demande de l’Utilisateur, dans des instructions écrites séparées ;

3. veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le Règlement européen sur la protection des données de la part de S4E ;

4. superviser le Traitement, y compris réaliser les audits, inspections auprès de S4E. Dans le cadre de la réalisation des audits et des inspections, l’Utilisateur s’engage à avertir S4E de sa décision de procéder à un audit ou à une inspection en respectant un préavis minimum de 1 mois ;

Au regard de ces audits/inspections, il s’engage à (i) faire appel à un personnel ou prestataire qualifié ; (ii) supporter seul l’intégralité des frais liés aux audits/inspections ; (iii) ne procéder aux audits/inspections qu’en heures et jours ouvrés ; (iv) ce que ces audits/inspections aient pour finalités : une analyse du respect du présent accord et de la réglementation relative à la protection des données personnelles.

5. A prendre les mesures de sécurité nécessaires à la protection des Données personnelles qui lui incombent en sa qualité de Responsable de traitement et notamment à veiller à la confidentialité de ses identifiants et mots de passe de ses accès aux services, à utiliser des mots de passe respectant les règles de bonnes pratiques; à assurer la sécurité des postes de travail et des équipements à partir desquels son personnel et toute personne autorisée par lui, accèdent aux services notamment en authentifiant les utilisateurs nominativement, en révisant les habilitations périodiquement, en s’assurant de l’application des correctifs et mises à jour des systèmes, en disposant d’anti-virus et de pare-feu ou similaires tenus à jour, en privilégiant les réseaux Wifi utilisant le chiffrement WPA2, WPA2_PSK ou similaire, en favorisant les sauvegardes de données de ses utilisateurs dans des emplacements adéquats; en protégeant ses locaux notamment en disposant de systèmes antiintrusion et de contrôles d’accès périodiquement testés, différenciant les zones de locaux selon les risques (exemple : salle informatique), accordant les accès aux personnels selon les besoins opérationnels selon le principe du moindre privilège ; à recourir à des personnes formées et sensibilisées à la protection des données personnelles; etc.

6. A recueillir, dans le respect du Règlement européen à la protection des données et autres règles en vigueur sur la protection des données, lorsqu’il est nécessaire, tout consentement des personnes concernées par les opérations de Traitement envisagé, et dans tous les cas, à s’assurer que le Traitement soit et demeure licite. Il appartient également à l’Utilisateur de fournir l’information aux personnes concernées par les opérations de Traitement au moment de la collecte des Données personnelles.

7. A donner suite aux demandes d’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des données, de ne pas faire l’objet d’une décision individuelle automatisée).

Et plus généralement, à respecter ses obligations mises à sa charge par la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement européen à la protection des données.

3.2 Obligations du Sous-traitant

S4E ne traite les Données personnelles que sur instruction documentée de l’Utilisateur conformément à l’article 3.1.2, à moins d’y être obligée par le droit de l’Union ou le droit français. Si S4E considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement l’Utilisateur.

S4E s’engage :

• à traiter les Données personnelles pour les seules finalités qui font l’objet de la sous-traitance.
• à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
• à ne pas transférer les Données personnelles vers tout pays situé hors UE/EEE ou vers tout pays tiers non reconnu par la Commission européenne comme assurant un niveau de protection suffisant des données à caractère personnel, sans accord préalable de l’Utilisateur.

En général, le Responsable de traitement peut, à tout moment, via les services, supprimer et exporter toute Donnée personnelle. Dans tous les cas et sauf instruction contraire du Responsable de Traitement, les Données personnelles ne sont pas conservées par le Sous-traitant au-delà de six mois maximum à compter de la résiliation ou expiration du service relatif au Traitement des Données personnelles ou d’un cas de résiliation anticipée, sauf celles devant être conservées pour répondre à une obligation légale ou réglementaire.

Sécurité / Confidentialité / Violation des données

S4E met en oeuvre les mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du Règlement sur la protection des données. S4E s’engage notamment à prendre toutes mesures utiles afin d’assurer la conservation et l’intégrité des Données personnelles et afin d’éviter toute utilisation détournée ou frauduleuse des Données personnelles, et ce dans la limite de son périmètre d’intervention et des moyens sous son contrôle au titre et pendant la durée des relations contractuelles.

S4E s’engage à conserver la confidentialité des Données personnelles, à ne pas les divulguer, sous quelle que forme que ce soit, sauf (i) pour les besoins de l’exécution des services, des finalités et du présent accord; (ii) en application d’une disposition légale ou réglementaire; (iii) pour répondre aux demandes des communications des autorités judiciaires et/ou administratives; (iv) avec l’accord préalable ou demande de l’Utilisateur. A ce titre, S4E veille à ce que les personnes autorisées à traiter les Données personnelles (personnel, partenaires, SousTraitants Ultérieurs, etc.) s’engagent à respecter la confidentialité des Données personnelles ou soient soumises à une obligation légale appropriée de confidentialité.

S4E notifie à l’Utilisateur toute Violation de Données personnelles dans un délai maximum de 72 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Utilisateur de remplir ses obligations.

Assistance

Dans la mesure du possible, compte tenu de la nature du Traitement et des informations à sa disposition, S4E s’engage vis-à-vis de l’Utilisateur, et sur demande de ce dernier :

• à l’aider à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées par le Traitement, dans la mesure où l’Utilisateur ne dispose pas des informations ou des outils via les services. L’Utilisateur reste seul responsable de la réponse apportée aux personnes concernées. En cas de demandes d’exercice des droits ou de plaintes par des personnes concernées parvenant directement auprès de S4E, cette dernière s’engage à faire parvenir lesdites demandes, dans les plus brefs délais à l’Utilisateur ;
• à l’aider pour la réalisation d’analyses d’impact relatives à la protection des Données personnelles, lorsque le Traitement de ces dernières est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, et pour la réalisation de la consultation préalable de l’autorité de contrôle ;
• à l’aider pour la réalisation de la notification auprès de l’autorité de contrôle, et si nécessaire auprès de la personne concernée, en cas de Violation de Données Personnelles conformément à la section « Sécurité/Confidentialité/Violation des données » ;
• à mettre à la disposition de l’Utilisateur toutes les informations nécessaires pour démontrer le respect des obligations prévues dans le cadre du Règlement européen sur la protection des données et pour permettre la réalisation d’audits, y compris des inspections. La réalisation des audits se fera conformément aux dispositions de l’article 3.1.4.

Sous-traitance

S4E peut faire appel à un autre sous-traitant pour mener des activités de Traitement spécifiques (ciaprès, « Sous-Traitant(s) Ultérieur(s) »), ce que le Responsable de traitement accepte. La liste des Sous-Traitants Ultérieurs actuels est :

• OVH – Public cloud , serveurs de fichiers (localisation France)
• Scaleway – Public Cloud (localisation France)
• Infomaniak – serveur de fichiers (localisation Suisse)

Le Responsable de traitement accepte et approuve que S4E fasse appel à chaque Sous-Traitant Ultérieur figurant sur cette liste.

S4E s’engage à informer préalablement et par écrit, y compris électronique, l’Utilisateur de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-Traitants Ultérieurs. L’Utilisateur dispose d’un délai maximum de 15 jours calendaires à compter de la date d’envoi de cette information pour résilier le ou les services concernés en cas d’opposition. A défaut de résilier dans le délai escompté, l’Utilisateur sera réputé avoir accepté tout changement concernant l’ajout ou le remplacement d’autres Sous-Traitants Ultérieurs. En cas de résiliation, l’Utilisateur ne recevra aucun remboursement sur les abonnements en cours. Toute notification de résiliation dans ce cadre doit intervenir à l’adresse suivante : dpo@s4e-software.com

Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, S4E demeure pleinement responsable devant l’Utilisateur.

Registre des catégories d’activités de traitement

S4E déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Utilisateur.

Article 4 – Autorités de contrôle

Les Parties s’engagent à coopérer avec les autorités de protection des données compétentes, notamment en cas de demande d’information qui pourrait leur être adressée ou en cas de contrôle.

Article 5 – Délégué à la protection des données

S4E déclare qu’elle a procédé à la nomination d’un délégué à la protection des données pouvant être joignable à l’adresse électronique suivante : dpo@s4e-software.com ou par courrier au siège social de S4E. Dès lors que l’Utilisateur dispose d’un délégué à la protection des données, il s’engage à transmettre ces coordonnées auprès du délégué à la protection des données de S4E.

Article 6 – Application des conditions générales

Le présent accord complète les conditions générales de ventes applicables aux Services souscrits par l’Utilisateur. En cas de contradictions, les présentes conditions priment sur lesdites conditions générales.