Conditions contractuelles générales et accord de gérant du traitement des données

1. Champ d’ application.

Les conditions générales suivantes (« contrat » ou « conditions ») de SESAME LABS, S.L. (ci – après, « SESAME » ou « le titulaire ») s’appliquent à votre commande dans la version en vigueur au moment de la passation de la commande.

Les clauses et les conditions générales s’appliquent exclusivement aux commandes passées par le portail Internet et sont conformes aux dispositions de la Législation en vigueur et, en particulier, à la Loi 7/1998, du 13 avril, sur les Conditions Générales de Contrat, à la Loi 34/2002, du 11 juillet, sur les Services de la Société de l’Information et le Commerce Électronique, et aux autres Lois complémentaires.

Dans le cas où un contrat/accord aurait été conclu entre SESAME pour les mêmes services que la commande passée, le contenu de ce contrat/accord prévaudra sur les dispositions des présentes conditions générales.

 2. Identification du propriétaire.

L’entité avec laquelle vous contractez est SESAME LABS, S.L. dont le siège social est situé à la Rue Travesia, s/n, Base nº1, 46024 Valence (Espagne), CIF B98719818 et inscrite au Registre du commerce de Valence Volume 9938, Livre 7220, Folio 87, page V.164478, Inscription 1e. SESAME LABS offre son service de gestion du personnel (dorénavant, le « Service ») à travers de son Site Web www.sesametime.com (ci-après, le « Site Web »), ainsi qu´à travers de ses applications pour iOS et Android (ci-après, les « APPS ») pour les organisations employeuses (dorénavant, le « CLIENT »).

L’adresse aux fins des réclamations correspond à l’adresse indiquée établie comme le siège social de la Société.

Les présentes Conditions Contractuelles Générales (ci-après, les « Conditions ») régissent la souscription des services offerts par SESAME tout à travers son Site Web, ainsi que les droits et les obligations des parties découlant des transactions de prestation de services conclues entre elles.

SESAME a développé et est aussi le propriétaire légitime d’un logiciel de gestion du temps de travail « SESAME TIME » ou le « SAAS » lequel est offert comme un service accessible à travers Internet (URL: https://app.sesametime.com ou à travers ses applications pour iOS et pour Android) ou « Software as a Service » (SaaS) pour les entités employeuses (ci-après dénommées le « CLIENT »).

Qu’en acceptant ces conditions, SESAME vous accorde une licence pour accéder et utiliser SESAME TIME et la fourniture d’autres services complémentaires, conformément aux conditions.

3. Définitions.

En outre de tout autre terme défini dans les présentes conditions, les termes suivants ont la signification suivante:

– « Bases de données »: ensemble intégré de données appartenant au CLIENT inclus dans le SAAS pendant la durée du Contrat. En cas de traitement de données personnelles  incluses dans la Base de Données, il sera d´application l´Accord du Gérant du Traitement inclus dans celles-ci.

– “Utilisateurs authorisées”: les Utilisateurs qui ont une relation contractuelle avec le CLIENT et qui utilisent le SAAS pour enregistrer et gérer leur journée de travail.

– « Documentation »: la documentation concernant les Services préparée par SESAME et fournie au Client, qui peut inclure des guides d´emploi, de la documentation technique, etc. sous format électronique.

4. Objet des Conditions Générales.

Les présentes Conditions Générales régissent la licence d’utilisation du SAAS que SESAME accorde au Client. La licence est non sous-licenciable, non exclusive, mondiale et limitée dans le temps à la durée des Conditions Générales convenues, qui seront en tout cas conditionnées par le paiement intégral du prix convenu.

Les présentes Conditions Générales régissent aussi la prestation de services supplémentaires pendant la durée du contrat, qui consiste en une assistance technique selon les clauses indiqués (ci-après, l’utilisation de SESAME TIME et l’ensemble des services supplémentaires sont désignés conjointement comme les « Services »). 

SESAME se réserve le droit de modifier toute disposition des présentes Conditions Générales, ce qui sera notifié au Client à travers le SAAS pour son acceptation. Tout celà sans préjudice de la mise à jour des clauses et des conditions sur le Site Web de SESAME.

CONDITIONS ÉCONOMIQUES, PLANS ET RENOUVELLEMENT CONTRACTUEL.

Frais d’abonnement. Le prix des Services est basé sur le paiement d’une cotisation d’abonnement (la « Cotisation« ) qui peut être annuelle ou mensuelle selon le plan choisi par le CLIENT. Cette cotisation est publiée à la fois sur le Site Web et aussi sur le SAAS.

Conditions du service d’essai gratuit.

Les Clients qui utilisent le service dans son mode gratuit ne seront pas obligés de fournir des informations pour la facturation. La durée de l’essai gratuit sera de 14 jours civils à compter de l’acceptation des Conditions et de la Politique de Confidentialité. Une fois la période d’essai terminée, le CLIENT devra choisir l’un des plans proposés, qui sera régi par les stipulations de chacun des plans. Si l’essai gratuit expire et que le CLIENT n’a pas choisi l’un des plans, SESAME procédera au blocage et à l’annulation du compte.

Les clients qui ont l’intention d’utiliser le service gratuit autorisent un agent désigné par SESAME à accéder à leur compte pour les aider à configurer et à démarrer le service.

Conditions de service plan annuel.

Le CLIENT pourra choisir le plan annuel avec les différents services inclus dans chaque tarif après la fin de l’essai gratuit de 14 jours ou avant la fin de l’essai. 

Choix de la cotisation annuelle. Avec la sélection initiale ou le changement du plan, l’année civile du service commencera, avec les conditions et les stipulations publiées au moment de la sélection, y compris le prix, qui resteront invariables pendant la période de validité.

Dans le cas où le CLIENT souhaite, pendant la durée du contrat, apporter quelconque modification au plan contracté, seront appliquées les conditions et les stipulations publiées par Sésame sur le Site Internet au moment où la modification aura lieu.

RENOUVELLEMENT DU CONTRAT. A la date d’expiration du plan annuel, c’est-à-dire après qu’une année civile soit passée depuis le choix du plan, le Contrat sera automatiquement renouvelé pour des périodes annuelles, les Conditions en vigueur au moment du renouvellement sur le Site Sesame seront applicables, sauf si le CLIENT notifie expressément son intention de ne pas renouveler le PLAN CONTRACTÉ au moins trente (30) jours avant la date de fin de la période initiale ou de quelconque de ses prorogations.

Le CLIENT peut résilier son compte par l’intermédiaire du panneau de la plate-forme.

Les changements de modalité vers une version inférieure peuvent entraîner la perte du contenu, des caractéristiques et des fonctionnalités du compte du CLIENT. SESAME n’accepte aucune responsabilité pour de telles pertes.

Annulation du service. Le CLIENT pourra, pendant la durée du Contrat, résilier le contrat, mais cette résiliation ne donne droit à aucun remboursement des sommes déjà versées à SESAME. Le CLIENT peut résilier son compte par l’intermédiaire du panneau de la plate-forme.

Conditions du Service du Plan Mensuel.

Le CLIENT pourra choisir un plan mensuel avec les différents services inclus dans chaque tarif après la fin de l’essai gratuit de 14 jours ou avant la fin de la période d’essai.

Choix de la cotisation mensuelle. Lors de la sélection initiale ou du changement de plan pour un plan mensuel, les frais mensuels du plan sélectionné seront facturés de façon  immédiate.

Mise à jour de la cotisation mensuelle.

SESAME pourra modifier les frais mensuels et/ou les clauses des plans mensuels, en notifiant les changements à effectuer avec un délai de préavis de 60 jours civils avant leur application effective, en donnant au Client le droit de résilier le service, si les nouvelles conditions ne sont pas acceptées, à condition que le préavis soit donné au moins 30 jours avant la date des nouvelles conditions.

En cas d’absence de notification de résiliation, SESAME appliquera les nouvelles conditions, y compris les nouveaux tarifs, 60 jours après la notification. Si le dernier jour de cette période ne correspond pas au premier jour civil du mois, pour le calcul des mois entiers, cette période sera considérée comme prolongée jusqu’au premier jour civil du mois suivant.

Les changements de modalité vers une version inférieure peuvent entraîner la perte du contenu, des caractéristiques et des fonctionnalités du compte CLIENT. SESAME n’accepte aucune responsabilité pour de telles pertes.

Annulation du service. Le CLIENT aura le droit de résilier le contrat, mais l’annulation du contrat ne donnera pas droit à aucun remboursement des sommes déjà versées à SESAME. La résiliation du contrat devra être notifiée au moins trente (30) jours avant la date de la prochaine facture.
Le CLIENT peut résilier son compte par l’intermédiaire du panneau de la plate-forme.

CONDITIONS D’UTILISATION DU SERVICE.

Droits d’utilisation. SESAME accorde au Client et aux Utilisateurs Autorisés le droit personnel, non exclusif, intransmissibe et non sous-licenciable d’utiliser le SAAS et les autres Services, dans le monde entier, pour la durée des présentes Conditions et de leurs renouvellements exclusivement pour les besoins de leur activité professionnelle, en contrepartie du prix.

Restrictions d’utilisation. Le Client ne pourra pas: (a) réaliser ingénierie inverse, décompiler, désassembler ou tenter de toute autre manière de dériver le code source, les idées sous-jacentes, les algorithmes, les formats de fichier ou les API non publiques des Services, ou traduire, modifier ou créer des œuvres dérivées du SAAS, des Services ou de toute partie de ceux-ci, sauf dans la mesure autorisée par la Législation applicable; (b) copier/reproduire, prêter, vendre, louer, accorder une sous-licence, diffuser, distribuer, éditer, transférer à des tiers ou donner accès au SAAS, ou adapter les Services ou toute partie de ceux-ci de quelque manière que ce soit; (c) utiliser les Services au profit d’un tiers; (d) utiliser le Service à des fins commerciales ou dans un produit ou service que le Client fournit à un tiers; (e) éviter, modifier, enlever, supprimer, effacer, altérer ou manipuler de toute autre manière toute technologie ou logiciel de sécurité, de cryptage ou autre faisant partie des Services; (f) accéder ou utiliser le SAAS ou les Services à des fins d’analyse de la concurrence ou pour créer un produit ou un service similaire ou concurrentiel; (g) utiliser le SAAS à des fins illégales ou non autorisées par SESAME, y compris la publicité non sollicitée et le spamming; (h) créer, recueillir, transmettre, stocker, utiliser ou traiter des données par le moyen du SAAS qui violent tout Loi applicable, ou qui enfreignent les droits de propriété intellectuelle ou d’autres droits d’un tiers; (i) introduire ou diffuser des contenus ou des logiciels (virus et malware) susceptibles de causer des dommages aux systèmes informatiques de SESAME, de ses fournisseurs de services technologiques ou d’utilisateurs tiers; ou (j) encourager, permettre ou aider un tiers à faire l’une des choses précédentes.

Mises à jour et nouvelles versions. Les mises à jour, versions successives du SAAS fournies au Client pendant la durée des Conditions seront soumises aux mêmes dispositions.

SERVICES D’ASSISTANCE TECHNIQUE ET DISPONIBILITÉ.

Services d’ Assistance Technique. SESAME fournira au client une assistance téléphonique ou électronique pendant les horaires de travail de SESAME pour aider le client à résoudre ses doutes, à localiser et à corriger les problèmes liés au SAAS par le moyen du e-mail soporte@sesametime.com ou du chat inclus dans le SAAS lui-même. Pendant la prestation du service, le Client autorise SESAME, par le biais de son personnel, et avec la demande préalable du Client, à accéder aux comptes de l’Utilisateur Autorisé afin d’effectuer les actions appropriées pour résoudre les doutes ou incidents éventuels avec le SAAS.

Disponibilité. SESAME fera des efforts commercialement raisonnables pour s’assurer que le SAAS est disponible à 99% et fera des efforts commercialement raisonnables pour fournir au client un préavis d’au moins 48 heures en cas de maintenance programmée pendant l´horaire habituel de travail.

UTILISATION DU COMPTE.

Accès au compte. Le Client et les Utilisateurs Autorisés devront maintenir la sécurité des mots de passe pour accéder aux comptes des Utilisateurs Autorisés dans le SAAS (« Compte »). SESAME ne sera en aucun cas responsable de toute perte d’information ou de tout dommage résultant du non-respect de cette obligation de sécurité.

Restrictions. Il n’est pas permis: (i) de partager un (1) compte entre plusieurs Utilisateurs Autorisés; et (ii) la création de comptes par des « bots » ou autres méthodes automatisées. Le Client sera responsable de toutes les actions entreprises et des données téléchargées par les Utilisateurs Autorisés sur le SAAS.

Gestion des comptes. Le Client s’engage à bloquer ou à désactiver immédiatement le compte d’un Utilisateur Autorisé dans le cas où: (i) la relation de travail entre le Client et l’Utilisateur Autorisé soit suspendue ou résiliée; ou (ii) le Client considère qu’un Utilisateur a abusé de ses mots de passe pour accéder au SAAS. Si SESAME a la certitude qu’un Utilisateur Autorisé se trouve dans l’une des situations susmentionnées, SESAME pourra suspendre temporairement ou indéfiniment l’accès au Compte en infraction, et SESAME devra, dans ce cas, notifier au CLIENT l’infraction détectée et les mesures prises à l’égard de ce Compte. 

PROPRIÉTÉ INTELLECTUELLE ET INDUSTRIELLE.

Propriété Intellectuelle et Industrielle par rapport aux Services. SESAME restera la propriétaire de tous les Droits de Propriété Intellectuelle et Industrielle relatifs à tous les composants des Services, y compris le SAAS, et à tous les autres développements, améliorations, mises à jour ou travaux dérivés de cet Accord. Les Droits de Propriété Intellectuelle et Industrielle couvriront toutes les données, le code source et le code objet, les scripts, les designs, les concepts, les applications, les textes, les images, toute documentation connexe, les copies, les modifications et les documents ou la documentation dérivés de tout ce qui précède (en tout ou en partie) et tous les droits d’auteur, brevets, marques, secrets commerciaux et autres droits de propriété connexes, sont et resteront la propriété exclusive de SESAME et/ou de ses titulaires de licence.

Propriété Intellectuelle et Industrielle du Client. Tous les droits, titres et intérêts relatifs à la Base de Données, aux marques, aux noms commerciaux et aux logos du Client, ainsi que ceux qui peuvent exister dans le propre système informatique du Client, resteront la propriété du Client.

Le Client autorise expressément SESAME à utiliser la marque et le nom commercial du Client pour les faire figurer sur les Sites Internet de SESAME à des fins purement publicitaires.

CONFIDENTIALITÉ.

Définition d´Information Confidentielle. On fait référence a « Information Confidentielle » à quelconque matériel ou quelconque information divulguée oralement ou par écrit, étiquetée ou désignée comme confidentielle ou qui, de par sa nature, pourrait raisonnablement être considérée comme confidentielle, qui a été livrée ou fournie par l’une des Parties à l’autre en relation avec les présentes conditions, y compris les informations relatives aux systèmes informatiques et à l’architecture des systèmes prévus ou existants des Parties, y compris le hardware, le software, le SAAS en lui-même, la Documentation, la Base de Données, les méthodes de traitement et les méthodes d’exploitation.

Exceptions. L Information Confidentielle ne comprendra pas l´ information qui (i) était dans le domaine public au moment où elle a été divulgué à la Partie destinataire; (ii) ést entrée dans le domaine public par l’utilisation, la publication ou autre, après la divulgation à la Partie destinataire, sans qu’il y ait faute ou acte de la Partie destinataire; (iii) était en possession de la Partie destinataire de manière légale et libre de toute obligation de confidentialité au moment où elle a été divulguée à la Partie destinataire; (iv) est communiquée légitimement à la Partie destinataire par un tiers habilité à divulguer cette Information Confidentielle ultérieurement où elle a été divulguée à la Partie destinataire.

– 1.1 Devoir de Confidentialité. Les Parties s’engagent à ne pas utiliser, divulguer, copier, publier, utiliser, exploiter, diffuser ou distribuer l’Information Confidentielle de l’autre Partie, ou permettre que l’Information Confidentielle reçue soit exploitée ou distribuée par des tiers, sans le consentement écrit préalable de la Partie divulgatrice, sauf dans la mesure nécessaire à l’exécution de ses obligations ou à l’exercice de ses droits en vertu du Contrat. Les Parties s’engagent à traiter l’Information Confidentielle avec le même degré de soin qu’elles utilisent pour protéger leur propre Information Confidentielle, et en aucun cas avec moins qu’un degré de soin raisonnable. L’obligation de confidentialité restera en vigueur indéfiniment et s’étend également aux employés et représentants des Parties, ainsi qu’aux conseillers externes engagés par l’une ou l’autre des Parties dans le cadre du présent Contrat.

Divulgation de l´Information Confidentielle. Les Parties ne peuvent divulguer

l´Information Confidentielle que dans les circonstances suivantes: (i) en réponse à une ordonnance d’un Tribunal ou d’un autre organisme gouvernemental, ou si la Loi l’exige (auquel cas la Partie divulgatrice sera informée à l’avance par écrit de cette divulgation potentielle et devra limiter cette divulgation autant que possible); (ii) lorsque la Partie recevant cette Information Confidentielle soit obligée de la divulguer à ses employés, représentants ou conseillers externes (le cas échéant) qu’elle a embauché dans le but d’exécuter ses obligations aux termes du présent Contrat et seulement dans la mesure nécessaire; (iii) lorsqu’une Partie a reçu l’autorisation écrite expresse de l’autre Partie de divulguer son Information Confidentielle. (Ou une partie de celle-ci).

Violation du Devoir de Confidentialité. La violation des obligations de confidentialité énoncées dans le présent Contrat, ou les actions frauduleuses ou négligentes menées par l’une des Parties, leurs employés ou dirigeants, habiliteront la Partie non fautive à réclamer par voie judiciaire, les responsabilités, directes ou indirectes ou à charge de tiers, y compris les frais judiciaires, extrajudiciaires et de défense que la Partie fautive causera, ainsi qu’à réparer les dommages que cette violation aurait causés à la Partie non fautive.

PROTECTION DES DONNÉES.

Données des Parties Contractantes. Les Parties s’informent mutuellement que les données personnelles des signataires, ainsi que des personnes travaillant pour les Parties respectives, et les données de contact indiquées à effets de notifications, seront traitées par l’autre Partie dans le seul but de gérer et d’exécuter la relation contractuelle. Les données seront conservées pendant toute la durée de la relation et, une fois celle-ci terminée, elles ne seront conservées que pendant la durée nécessaire au respect des obligations fiscales, juridiques et administratives auxquelles les Parties sont soumises.

La base qui légitime ce traitement est la nécessité d’exécuter le présent Contrat. Les données ne seront pas communiquées ou transférées à des tiers, à l’exception de ceux qui sont indispensables à l’exécution du Contrat lui-même (prestataires de services nécessaires) et à l’accomplissement des obligations légales. (Administrations Publiques, Commissaires aux Comptes, Institutions Financières, Compagnies d’Assurance le cas échéant, entre autres). 

Dans le cas des prestataires de services nécessaires, il est possible qu’ils puissent avoir le siège en dehors de l’U.E. et qu’ un transfert international de données puisse avoir lieu. Dans un tel cas, les Parties s’engagent à s’assurer que leurs fournisseurs internationaux disposent de garanties adéquates conformément au Droit applicable. 

Les Parties pourront demander l’exercice de leurs droits d’accès, de rectification, d’effacement, d’opposition, de limitation et de portabilité à l’adresse désignée dans le présent contrat ou à l’e-mail legal@sesametime.com, en indiquant explicitement le droit qu’elles souhaitent exercer. De même, les Parties sont mutuellement informées qu’elles ont le droit de déposer une plainte auprès de l’Agence Espagnole de Protection des Données (www.aepd.es). Toutefois, les parties feront de leur mieux et tenteront de trouver une solution amiable à toute question relative aux données personnelles.

Base de données incluse par le CLIENT. Le traitement des données personnelles contenues dans la Base de Données qui sera effectué par SESAME dans le cadre de la prestation des services sera régi par l´Accord de Traitement contenu dans les présentes Conditions Générales.

GARANTIES.

Garantie de propriété. SESAME garantit au CLIENT qu’il est le propriétaire ou le titulaire légitime de tous les droits de propriété intellectuelle nécessaires pour fournir les Services et le SAAS. 

Exclusions. A l’exception de ce qui est expressément prévu dans le paragraphe précédent, SESAME TIME est fourni « TEL QUEL » et « tel que disponible » et SESAME exclut toute autre garantie, y compris, mais sans s’y limiter, les garanties implicites de disponibilité, de performance, de non-violation, de qualité marchande ou d’adéquation à une fin déterminée, sans préjudice, le cas échéant, de toutes les garanties requises par la Loi. Le CLIENT accepte qu’il est le seul responsable des résultats obtenus par l’utilisation des Services et de leurs fonctionnalités. Aucune réclamation ne sera acceptée pour de prétendues spécifications auxquelles, de l’avis du CLIENT, le SAAS ou les Services doivent atteindre.

RESPONSABILITÉS.

Limitation de la Responsabilité. Le Client accepte d’indemniser et d´éxonerer SESAME pour toute réclamation, action ou demande directe, indirecte, accessoire ou consécutive d’un tiers, ainsi que pour toute dépense, responsabilité, dommage, accord ou frais résultant de la mauvaise utilisation du SAAS ou des services par le Client, ou de la violation de l’un des termes de cet Accord. SESAME ne sera pas non plus responsable des réclamations, pertes ou dommages résultant de l’utilisation par le Client ou quelconque Utilisateur des produits, services, logiciels ou Sites Web tiers accessibles à travers des liens du SAAS ou le Site SESAME.

Dommages indirects. SESAME ne sera pas responsable (sauf disposition contraire de la Loi) envers le Client pour tout dommage, compensation ou indemnité basée sur des dommages indirects (y compris, mais limité aux dommages consécutifs, la perte d’utilisation, la perte ou l´inexactitude des données, la perte de profits, la défaillance des mécanismes de sécurité, l´interruption d’activité, les coûts de délai) ou tout autre dommage spécial, accidentel ou consécutif de quelque nature que ce soit, même s’il a été informé à l´avance de la possibilité de tels dommages.

Responsabilité maximale: La responsabilité maximale de SESAME pour toute réclamation découlant de ce contrat, qu’il s’agisse d’un non-respect du contrat, d’un non-respect de garantie, d’une négligence ou autre, et le seul recours du CLIENT, est limitée aux dommages directs d’un montant n’excédant pas la part proportionnelle de la somme des montants et des Cotisations Annuelles ou Mensuelles payées ou payables par le CLIENT à SESAME en vertu de ce contrat au cours des vingt-quatre (24) derniers mois précédant la réclamation. 

Aucune disposition du présent Contrat ne limitera ou n’exclura la responsabilité d’une Partie qui ne puisse être exclue ou limitée en vertu du Droit applicable.

Force Majeure. Aucune des parties ne sera responsable envers l’autre de tout non-respect de ses obligations en vertu des Conditions dans la mesure où ce non-respect ou ce retard est le résultat d’une cause ou d’une circonstance hors du contrôle raisonnable de la Partie concernée qui n’aurait pas pu être évitée ou résolue en agissant raisonnablement et prudemment (comme, mais sans s’y limiter, des incendies, des inondations, des grèves, des conflits de travail ou d’autres troubles industriels, une guerre – déclarée ou non, des embargos, des blocus, des restrictions légales, des émeutes, des insurrections, des réglementations gouvernementales). 

Conformité réglementaire. Le CLIENT sera le seul responsable du respect total à toutes les Lois applicables à son activité dans sa juridiction. Le simple fait de contracter les Services n’équivaut en aucun cas et ne garantit pas le respect de la réglementation applicable à la gestion de la journée de travail. SESAME TIME est un outil sujet à l’utilisation par le CLIENT, qui est le responsable du respect de ses obligations.

RÉSILIATION.

SESAME se réserve le droit de résilier le Contrat de plein droit, sans préavis ni indemnité, dans le cas où le Client ou un Utilisateur Autorisé compromettrait de quelconque manière l’intégrité du SAAS, les droits de Propriété Intellectuelle et Industrielle de SESAME sur les Services ou la réputation des marques ou des produits de SESAME ou effectuerait l’une des actions prévues à la Clause.

Effets de la résiliation. A l’expiration du Contrat ou à sa résiliation pour quelconque raison que ce soit: (i) le CLIENT ne sera remboursé d’aucune des sommes versées à SESAME au titre du présent Contrat et SESAME facturera toutes les honoraires exigibles pour le temps restant de l’année en cours; (ii) à la demande du CLIENT, SESAME s’engage à fournir au CLIENT une copie de la Base de Données dans un format technique standard. Cette demande doit être faite dans un délai d’un (1) mois à compter depuis 

l´achêvement du Contrat; (iii) toutes les dispositions du Contrat cesseront de produire leurs effets, à l’exception des dispositions du présent Contrat qui, de par leur nature, doivent rester en vigueur, même en cas de cessation du Contrat, notamment les dispositions relatives à la Confidentialité, à la Propriété Intellectuelle et à la protection des données.

DIVERS.

Rubriques. Les rubriques des Clauses sont donnés à titre d’exemple et n’auront aucun effet juridique.

Avis. Les Parties désignent les adresses électroniques désignées, dans le cas de SESAME l’adresse électronique autorisée est legal@sesametime.com .

Cession. Le CLIENT ne pourra céder ou transférer ce Contrat sans l’accord écrit préalable de SESAME. Néanmoins, le Contrat pourra être cédé ou transféré par SESAME sans le consentement du CLIENT, une notification écrite préalable de la cession au CLIENT étant suffisante pour que la cession soit effective. Une fois la cession formalisée, toute référence à la Partie cédante contenue dans le présent Contrat devra être comprise comme une référence à l’entité ou aux entités cessionnaires. 

Renoncement. Aucun retard dans l’exercice d’un droit ne sera considéré comme un renoncement à ce droit, et aucun renoncement à un droit ou à un recours dans un cas particulier ne constituera un renoncement à ce droit ou à ce recours en général.

Invalidité partielle. Si l’une des dispositions du présent Contrat est considerée inapplicable ou invalide, les autres dispositions du présent Contrat ne seront pas affectées et resteront pleinement en effet et en vigueur.

Indépendance. Le présent Contrat est de nature commerciale et il n’existe en aucun cas une relation de travail entre les Parties, qui seront indépendantes à tous les effets.

DROIT APPLICABLE ET JURISDICTION.

Droit Applicable. Les dispositions du présent Contrat seront régies et interprétées à tous égards conformément à la Législation Espagnole.
Jurisdiction applicable. Les Parties déclarent conjointement que, dans la mesure du raisonnable, tout litige lié au présent Contrat ou en découlant sera résolu par négociation et consultation mutuelles. Au cas où une solution satisfaisante ne serait pas trouvée, ce litige sera soumis aux Tribunaux de la ville de Valence.

ACCORD DE COMMANDE DE TRAITEMENT.

Le présent Accord de Commande dE Traitement fait partie des Conditions Générales, ci-après dénommées « Accord », entre Sesame Labs S.L. et le Client, qui définit les dispositions et les conditions applicables aux services fournis par Sesame Labs S.L. (les « Services »). Le présent DPA et les autres clauses de du Contrat sont complémentaires. Toutefois, en cas de conflit, l´Accord de Commande de Traitement devra prévaloir.

DÉCLARENT

(i) Que les Parties ont conclu un Contrat de licence pour l´utilisation du logiciel Saas Sesame Time  (ci-après le « Contrat ») en vertu duquel le Gérant du Traitement fournira certains services (ci-après les « Services ») impliquant l’accès à des données personnelles sous la responsabilité du Responsable du Traitement. 

(ii) Que le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la Protection des Personnes Physiques en ce qui concerne le traitement des données personnelles et à la libre circulation de ces données et abrogeant la Directive 95/46/CE (ci-après le « RGPD ») impose la réglementation des obligations de protection des données assumées par les Parties au Contrat.

(iii) Que, conformément à ce qui précède, les Parties conviennent de conclure et de signer le présent Accord de Commande de Traitement, qui sera régi selon les dispositions de l’article 28 du RGPD, et par ce qui suit:

CLAUSES.

1. Objet.

Afin d’exécuter les services dérivés du Contrat, et de fournir efficacement les Services, le Gérant du Traitement pourra avoir accès aux données personnelles sous la responsabilité du Responsable du Traitement. 

2. l’identification de l´information concernée.

Pour l’exécution des services découlant de la réalisation de l’objet du présent Accord de Commande de Traitement, le Responsable du Traitement met à la disposition du Gérant du Traitement les informations décrites ci-dessous:

Données personnelles:

– Nom et prénom.

– Adresse e-mail.

– Document National d´Identité.

– Photo de profil.

– Enregistrement des entrées et des sorties.

– Jours fériés, congés, autres informations relatives à la journée de travail.

– Projets.

– Géolocalisation. (Le cas échéant).

– Données biométriques. (Le cas échéant).

Module recruitment: 

– Nom et prénom.

– Adresse e-mail.

– Document National d´Identité.

– Image. (Le cas écheant).

-Curriculum Vitae. (Informations académiques et expérience professionnelle, caractéristiques personnelles, permis et licences)

– État de la candidature.

Catégories des intéressés: Employés; Candidats.

Spécification du traitement à effectuer:

X Recueil.

X Structuration.

X Conservation.

X Enregistrement.

X Anonymisation.

Le traitement des données relatives au « Module recruitment » s’appliquera lorsque le Responsable du Traitement ait souscrit avec le Gérant du Traitement les services de recrutement au moment de la relation initiale entre les Parties ou ait étendu l’objet du Contrat pendant la durée du celui-ci. 

3. Durée.

La présent Accord de Commande de Traitement entrera en vigueur à la date d’acceptation des stipulations et conditions du Contrat. Le présent Accord de Commande de Traitement est accessoire au Contrat principal de prestation de services et sa durée est donc liée à la durée de celui-ci.

4. Obligations du Responsable du Traitement..

Le Responsable du Traitement est le responsable des tâches suivantes, en outre de l’accomplissement des obligations qui lui sont attribuées dans le cadre du présent Accord de Commande de Traitement:

a) Respecter toutes les mesures techniques et organisationnelles nécessaires pour garantir la sécurité du traitement, des locaux, des équipements, des systèmes, des programmes et des personnes impliquées dans l’activité de traitement des données personnelles visées, qui sont stipulées dans la réglementation en vigueur et applicable à tout moment.

b) Remettre au Gérant les données visées à la Clause 2 du présent document, ainsi que les instructions nécessaires pour effectuer le traitement des données dans les conditions établies par le Responsable.

c) Répondre aux droits des personnes concernées par le traitement, tels que les droits d’accès, de rectification, d’effacement et d’opposition, la limitation du traitement, la portabilité des données et le droit de ne pas être l’objet de décisions individuelles automatisées, en collaboration avec le Gérant du traitement.

d) Effectuer, le cas échéant, une évaluation de l’impact sur la protection des données à caractère personnel des opérations de traitement à effectuer par le Gérant.

e) S’assurer, avant et pendant le traitement, du respect par le Gérant de la réglementation applicable en matière de protection des données.

f) Superviser le traitement, y compris la réalisation d’inspections et d’audits.

g) Communiquer au Gérant du Traitement des Données toute modification pouvant intervenir dans les données personnelles fournies, afin qu’elles soient mises à jour.

5. Devoir d´information et base légitime.

Le Responsable du Traitement garantit qu’il a respecté l’obligation de fournir toutes les informations aux personnes concernées au moment du recueil des données faisant l’objet du traitement, conformément aux dispositions des articles 12, 13 et 14 du RGPD, selon le cas. 

Le Responsable du Traitement garantit qu’il dispose d’une base légitime appropriée pour le traitement des données personnelles qui respecte les principes d’efficacité, de nécessité et de proportionnalité, en tenant compte de l’existence d’autres mesures de protection qui puissent se révéler moins invasives, en évitant les effets discriminatoires et en établissant des garanties appropriées.

Le Responsable du Traitement ne sera en aucun cas responsable de l’absence de  

l´accomplissent ou de l´accomplissement défectueux du devoir d’information ou de l’application d’une base de légitimation appropriée.

6. Obligations du Gérant du Traitement.

Le Gérant du Traitement déclare et garantit au Responsable du Traitement ce qui suit:

a.i.a.a.a.i.1. Qu’il utilisera les données personnelles objet de traitement, ou qu’il recueille pour leur inclusion, uniquement aux fins de cette commande. En aucun cas, il ne pourra pas utiliser les données à ses propres fins;

a.i.a.a.a.i.2. Qu’il traitera et utilisera les données personnelles auxquelles il a accès uniquement selon les instructions du Responsable du Traitement, et conformément aux finalités réglementées dans le Contrat. 

Les instructions concernant le traitement des données et les actions confiées au Gérant seront communiquées à celui-ci par écrit.

Si le Gérant du Traitement considère que l´accomplissement d une instruction particulière du Responsable du Traitement pourrait entraîner une violation des réglementations en matière de protection des données, il en informera immédiatement le Responsable. Dans cette communication, le Gérant demandera au Responsable de modifier, de retirer ou de confirmer l’instruction donnée et peut suspendre l’exécution en attendant une décision du Responsable.

a.i.a.a.a.i.3. Que, le cas échéant, il tiendra, par écrit, un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable, contenant toutes les informations prévues à l’article 30 du RGPD.

a.i.a.a.a.i.4. Qu’il maintiendra la confidentialité et le secret des données personnelles auxquelles il a accès dans le cadre de la fourniture des Services.

a.i.a.a.a.i.5. Qu’il ne communiquera pas à des tiers, sauf avec l’autorisation expresse du Responsable du Traitement, et dans les cas légalement admissibles. 

Le Gérant pourra communiquer les données à d’autres gérants  du même Responsable, conformément aux instructions de ce dernier. Dans ce cas, le Responsable du Traitement devra identifier, au préalable et par écrit, l’entité à laquelle les données doivent être communiquées, les données à communiquer et les mesures de sécurité à appliquer pour procéder à la communication. 

a.i.a.a.a.i.6. Qu’il fournira au Responsable du Traitement l´information nécessaire pour prouver l´accomplissement des obligations établies dans le contrat. 

a.i.a.a.i.7. Qu’il fournira l’assistance requise par le Responsable pour la réalisation d’audits ou d’inspections, effectués par le Responsable du Traitement ou par un autre auditeur autorisé par le Responsable. Les audits peuvent être effectués sur une base périodique, planifiée ou « ad hoc », à travers un préavis raisonnable dirigé au Gérant, pendant l´horaire de travail normal de ce dernier.

a.i.a.a.a.i.8. Qu´il devra assurer que les personnes autorisées à traiter les données personnelles se sont engagées, de manière expresse et écrite, à respecter les mesures de sécurité mises en place et à respecter la confidentialité des données. 

L´accomplissement de cette obligation sera documenté par le Gérant et mis à la disposition du Responsable du Traitement.

a.i.a.a.a.i.9. Qu’il a désigné un Délégué à la Protection des Données (« DPO) dont les coordonnées sont les suivantes: legal@sesametime.com .

a.i.a.a.a.i.10. Qu’il collaborera à l’accomplissement des obligations du Responsable et offrira son soutien à celui-ci, le cas échéant et à la demande de ce dernier, dans la réalisation (i) des analyses d’impact relatives aux données personnelles auxquelles il a accès; (ii) des consultations préalables avec l’autorité de contrôle.

7. Destination des données. 

À la fin de la prestation des services, le Gérant du Traitement devra restituer les données personnelles auxquelles il a eu accès et toutes les copies existantes, conformément aux instructions du Responsable du Traitement, conformément à la section 13.2 de l’Accord. 

Le Gérant du Traitement pourra conserver une copie avec les données dûment bloquées, aussi longtemps que des responsabilités peuvent découler de l’exécution de la prestation des Services.

8. Notification des violations de la sécurité des données. 

Le Gérant devra notifier au Responsable, sans retard excessif et, en tout cas, au plus tard dans un délai maximal de 24 heures, tout incident suspecté ou confirmé en matière de protection des données dans son domaine de responsabilité. Entre autres, il devra notifier au Responsable tout traitement qui peut être considéré comme illégal ou non autorisé, toute perte, destruction ou détérioration des données et tout incident considéré comme une violation de la sécurité des données. La notification devra être accompagnée de toute l´information appropiée pour la documentation et la communication de l’ incident aux autorités compétentes ou aux personnes concernées.

Le Gérant du Traitement devra en outre, assister le Responsable en ce qui concerne les obligations de notification prévues par le RGPD (en particulier, les articles 33 et 34 du RGPD) et toute autre réglementation applicable présente ou future modifiant ou complétant ces obligations.

9. Exercice des droits par les personnes concernées.

Le Gérant du Traitement fournira l´information et/ou la documentation demandée par le Responsable afin de répondre aux demandes d’exercice de droits que le Responsable puisse recevoir des personnes concernées dont les données sont traitées. Le Gérant du Traitement devra fournir cette information dans des délais raisonnables et, en tout cas, suffisamment à l’avance pour permettre au Responsable de respecter les délais légalement applicables pour répondre à l’exercice de ces droits.

Lorsque les personnes concernées exercent leurs droits d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des données et le droit de ne pas faire l’objet de décisions individuelles automatisées, le Gérant le notifiera par courrier e- mail à l’adresse legal@sesametime.com. La communication devra être faite immédiatement afin d’être traitée dans les délais légaux établis, et en aucun cas plus de deux jours ouvrables après la réception de la demande, et doit être présentée au Responsable  avec toute l´information pouvant être utile à sa résolution. 

10. Securité.

En ce qui concerne les mesures de sécurité techniques et organisationnelles, le Gérant du Traitement devra mettre en œuvre des mécanismes pour: 

(a) Garantir la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement. 

b) Rétablir rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique. 

c) Vérifier, évaluer et surveiller le fonctionnement des systèmes et services de traitement des données. 

b) rétablir rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique. 

c) vérifier, évaluer et apprécier régulièrement l’efficacité des mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité du traitement. 

d) Pseudonymiser et crypter les données personnelles, le cas échéant.

En particulier, les Parties sont convenues d’une liste de mesures à mettre en œuvre par le Gérant du Traitement, telles qu’elles figurent à l’Annexe A du présent Accord de Commande de Traitement.

Si le Responsable du Traitement, après la formalisation du Contrat, exige du Gérant adopter ou maintenir des mesures de sécurité autres que celles convenues dans l´Annexe I, ou bien si elles sont exigées par toute réglementation future, et que cela affecte de manière significative les coûts de fourniture des services, le Gérant et le Responsable conviendront les mesures contractuelles appropriées pour affronter l’effet que ces modifications peuvent avoir sur le prix des Services.

11. Sous-Traitance.

Le Responsable du Traitement accorde une autorisation générale au Gérant du Traitement de sous-traiter une partie des Services à des entités tierces ou à des sous-traitants 

(le « Sous-Traitant »). Le Gérant informera le Responsable du Traitement des traitements qui seront sous-traitées en identifiant clairement et sans ambiguïté la société sous-traitante et ses coordonnées. La sous-traitance pourra être effectuée si le Responsable ne manifeste pas son opposition dans un délai de 15 jours.

Le Gérant du Traitement fera preuve de diligence raisonnable pour choisir uniquement les sous-traitants qui offrent des garanties suffisantes pour appliquer des mesures techniques et organisationnelles appropriées, de sorte que les traitements sous-traités soient conformes aux exigences du RGPD et que la protection des droits des personnes concernées objet du traitement soit assurée.

Le Sous-Traitant, qui aura également le statut de gérant du traitement, sera également tenu de respecter les obligations imposées au Gérant du Traitement et les instructions dictées par le Responsable, telles que définies dans le présent Accord de Comission de Traitement. Il correspond au Gérant du Traitement de réguler la nouvelle relation dans un contrat signé par le Gérant et le Sous-Traitant, afin que le Sous-Traitant soit régi par les mêmes conditions (instructions, obligations, mesures de sécurité…) et avec les mêmes exigences formelles que le Gérant initial, en ce qui concerne le correcte traitement  des données personnelles et la garantie des droits des personnes concernées. En cas de non-respect par le Sous-Traitant, le Gérant du Traitement restera pleinement responsable envers le Responsable du Traitement du respect des obligations contenues dans le présente Accord de Commande de Traitement.

La liste des Sous-Traitants autorisés par le Responsable du Traitement est jointe au présent Accord de Commande de Traitement en Annexe B.

12. Transferts internationaux de données.

Le Gérant du Traitement n’effectuera pas des transferts internationaux de données personnelles auxquels il a accès, responsabilité du Responsable du Traitement, sauf s’il a reçu l’autorisation préalable du Responsable du Traitement ou s’ils sont correctement régularisés conformément aux dispositions des articles 45, 46 ou 47 du RGPD. Sans préjudice des Sous-Traitants autorisés référencés à l’Annexe B qui effectuent certaines opérations de traitement pour le compte du Gérant du Traitement dans des territoires situés en dehors de l’Espace Économique Européen, lesquels ont signé avec le Gérant du Traitement les correspondantes clauses contractuelles type approuvées par la Commission européenne (« CCT »), un accord signé entre les deux entités par lequel la société extracommunautaire garantit l´application des standards européens de protection des données.

13.Responsabilité.

Le Gérant sera responsable du traitement dans le cas où il destine les données objet du présent Accord de Commande à d’autres fins, les communique ou les utilise sans respect des dispositions du présent Accord de Commande, et il sera responsable des infractions 

qu´il aurait commis personnellement.

Le Responsable devra informer immédiatement le Gérant de toute procédure de sanction initiée contre le Responsable du Traitement par l’ AEPD ou quelconque autorité compétente pour de tels inéxecutions ou pour des accomplissements défectueux, afin que le Gérant puisse assumer la défense légale à sa charge, et devra agir à tout moment en coordination avec le Responsable ainsi que préserver son image publique et sa réputation.

Chaque Partie devra garantir l’ autre Partie contre les réclamations, les indemnités, les actions et les frais dérivés des réclamations que la Partie soit obligée de payer en vertu d’une sentence arbitrale ou d’une sentence ferme rendues par un Tribunal compétent, ou en vertu d’un accord conclu entre une Partie et des tiers demandeurs, qui seraient la conséquence du non-respect ou du respect défectueux de la réglementation applicable.

APPENDIX A.- SAFETY MEASURES

Notre infrastructure est principalement basée sur le Cloud, nous utilisons plusieurs fournisseurs, pour une plus grande tolérance aux pannes, et est constamment améliorée.

Notre application a une architecture distribuée, ce qui nous permet d’avoir des services frontaux, api et autres services distincts nécessaires au fonctionnement de l’application. En outre, cela nous permet d’améliorer l’évolutivité du service, car nous pouvons contrôler séparément quelle partie de l’infrastructure doit supporter une charge plus importante.

D’autre part, nous disposons d’un environnement de développement virtualisé qui permet à notre équipe d’effectuer toutes les modifications en parallèle et contrôlé par le système de contrôle de version GIT, ce qui nous permet de garantir l’intégrité du système. Ainsi qu’un flux d’intégration continue avec Gitlab.

Méthodologies de développement

SOLIDE
DDD (conception pilotée par le domaine)
Tests unitaires
Architecture hexagonale.
Authentification multiple
CI/CD avec Gitlab.

Langages de programmation

Backend
– Symfony 4
– PHP 7.x.x
– MySQL / MariaDB.
– Redis. ou SQS (ou Beanstalk)
– S3
– SQS
Frontend
– VueJS
– Tailwind
– Bibliothèque de composants logiques propriétaires.
Apps
– VueJS
– Condensateur
– Tapuscrit
– Douilles
– NodeJS
– Express
– Tapuscrit
– SocketIO.

Infrastructure

Pour traiter toutes les informations, nous disposons des technologies d’infrastructure suivantes.

  • Debian 10
  • Docker
  • K8S
  • AWS
  • Google Cloud
  • OVH Cloud
  • Proxmox
  • HAProxy
  • Cloudflare

Notre département des systèmes s’assurera que les serveurs disposent des logiciels nécessaires au bon fonctionnement de l’application.

Prestataires

  • OVH Cloud
  • Alors vous commencez
  • AWS
  • Google Cloud
  • Cloudflare
  • Dockerhub

Serveur de base de données

Relationnel (sql) : Pour les bases de données relationnelles, nous utiliserons MariaDB.
La base de données doit être encodée en utf8.
Nous aurons un utilisateur avec les permissions suivantes :
– Schéma (Créer des objets) : Oui (créer, modifier et supprimer des tables).
– Écriture (SUDI Select, Update, Delete and Insert) : Oui
– Lecture (SELECT) : Oui

Les sauvegardes sont effectuées de façon hebdomadaire et complète et de façon quotidienne et incrémentale. À partir de notre serveur de base de données, nous conservons une copie des copies sur une base mensuelle, hebdomadaire et quotidienne, stockée sur notre serveur esclave. En outre, des copies sont également faites toutes les heures de la base de données de notre serveur principal.

Nous conservons des copies de tout le contenu du serveur web, ainsi que des copies des fichiers de configuration des services critiques.

Nous utilisons un serveur de secours en France qui est redondant en Pologne pour garantir la disponibilité des sauvegardes en cas de catastrophe.

L’administrateur des systèmes d’information ou du service informatique ou celui qui en tient lieu est le responsable désigné qui établira une procédure de test des sauvegardes et de test de restauration des sauvegardes sur une base mensuelle.

En cas de récupération d’une copie, la procédure suivante doit être suivie :

Mesures de sécurité des infrastructures
Datacenter

Nos serveurs sont sous contrat avec OVH, numéro un en Europe et troisième dans le monde de l’hébergement web, qui dispose de plus de 150 000 serveurs physiques. Le succès d’OVH réside dans le contrôle total qu’il exerce sur la chaîne d’hébergement, y compris la production de ses serveurs. OVH est connu pour l’attention particulière qu’il porte à la sélection des composants de ses machines, exigeant la plus haute qualité.

Chaque serveur est systématiquement soumis à une série de tests pour vérifier sa conformité technique et son bon comportement en toutes circonstances. Dès que la machine quitte la production, elle est installée et connectée dans les datacenters d’OVH. Un robot vérifie ensuite que le matériel est conforme à la commande du client et que ses performances répondent aux spécifications.

Les points de contrôle sont les suivants :

  • processeurs : conformité, test de charge, température ;
  • Mémoire RAM : taille, memtest ;
  • BIOS : version du BIOS, virtualisation ;
  • disques : vitesse, test SMART, version du firmware, etc.

Nous avons également des services contractuels chez AWS. AWS est un pionnier de l’informatique en nuage depuis 2006, créant une infrastructure en nuage qui vous permet de créer en toute sécurité et d’innover plus rapidement. Leurs centres de données sont conçus pour être protégés contre les risques naturels et anthropiques. Ils mettent en place des contrôles, développent des systèmes automatisés et se soumettent à des audits de tiers pour confirmer la sécurité et la conformité.

Les centres de données sont conçus pour anticiper et tolérer les erreurs tout en maintenant les niveaux de service. En cas d’erreur, des processus automatisés détournent le trafic de la zone concernée. Les applications centrales sont déployées selon un standard N+1, de sorte qu’en cas de défaillance d’un centre de données, la capacité est suffisante pour pouvoir équilibrer la charge du trafic entre les autres sites.

AWS surveille et effectue la maintenance préventive des équipements électriques et mécaniques afin de maintenir le fonctionnement constant des systèmes installés dans les centres de données AWS. Les procédures de maintenance de l’équipement sont effectuées par des personnes qualifiées et sont exécutées conformément à un programme de maintenance documenté.

Protection contre les attaques
Nos serveurs utilisent l’infrastructure anti-DDoS déployée par OVH pour protéger les serveurs 24 heures sur 24 contre tout type d’attaque DDoS, quelles que soient sa durée et son ampleur.
L’objectif d’une attaque DDoS est de faire tomber un serveur, un service ou une infrastructure en envoyant de multiples requêtes simultanées depuis plusieurs points du réseau.
L’intensité de ces « tirs croisés » déstabilise le service, ou pire, le désactive. Cette infrastructure permet :
– analyser tous les paquets en temps réel et à grande vitesse,
– aspirer le trafic entrant du serveur,
– atténuer, c’est-à-dire identifier tous les paquets IP illégitimes, mais laisser passer les paquets IP légitimes.

Sécurité

Sésame est très conscient de la sécurité, du traitement des données et des fuites de données. C’est pourquoi nous travaillons chaque jour à améliorer la sécurité en maintenant des objectifs de sécurité clairs. C’est pourquoi nous allons maintenant détailler les différents aspects que nous traitons en matière de sécurité, tant au niveau de l’application que de l’infrastructure :

Fournisseurs de nuages : Sesame utilise différents fournisseurs de nuages afin de fournir la plus grande disponibilité et évolutivité possibles pour l’application. Tous nos prestataires possèdent au moins les certifications de sécurité suivantes :

ISO/IEC 27001, 27017 et 27018
PCI DSS niveau 1
Conformité au règlement européen 2016/679 sur la protection générale des données.
SSAE 18 de type 2 : SOC 1, SOC 2 et SOC 3

L’accès à ces fournisseurs n’est réservé qu’aux employés ayant un niveau d’accréditation très élevé dans l’entreprise, presque toujours par un responsable de secteur ou de système.

Serveurs : l’accès aux serveurs est limité aux employés ayant un haut niveau d’accréditation. L’accès aux serveurs se fera au moyen d’une paire de clés chiffrées RSA de 2048 bits et comprendra un mot de passe utilisateur nominal qui permettra d’enregistrer l’accès de l’utilisateur, ainsi qu’un enregistrement détaillé de tous les changements ou modifications apportés aux machines en vue d’un éventuel audit ultérieur.

Outils tiers : Sesame utilise des outils de sécurité tiers tels que Tenable.io qui inventorie toutes nos machines et les domaines que nous utilisons et lance périodiquement des audits de vulnérabilité et d’intrusion. Par conséquent, chaque semaine, nos experts disposent de nouveaux rapports indiquant d’éventuelles failles de sécurité qui, selon l’algorithme d’IA de Tenable, seront corrigées dans l’ordre de priorité recommandé.

Accès à l’application : L’accès à la plateforme se fera toujours par le biais de notre fournisseur de CDN et de DNS, CloudFlare, qui dispose d’un WAF intégré de pointe capable de détecter et d’atténuer les attaques visant directement l’application.

Politique en matière de correctifs

Tous les services, et l’infrastructure qui les supporte, accessibles depuis l’Internet, qu’ils soient destinés à l’usage interne de l’entreprise ou à celui de nos clients, suivent une politique de mises à jour de sécurité agiles. Ces services sont corrigés dès que nous avons connaissance d’un bogue ou d’une vulnérabilité importante. Dans le cas de mises à jour non critiques, les correctifs sont programmés mensuellement ou trimestriellement, en fonction de nos besoins et de l’application.
Les services internes (imprimantes, équipements du réseau local d’usagers, standards téléphoniques, etc.) ont une politique de mises à jour régulières et programmées (tous les six mois, tous les ans, etc.) en fonction des besoins et réalisées par le service informatique de l’entreprise.


Nous disposons également d’un système d’alerte aux virus, ClamAV.

ANNEXE B – LISTE DE SOUS – TRAITANTS.

NOM DU SOUS-TRAITANTADRESSE PROFESSIONNELLE
ENREGISTRÉE
LIEU DE TRAITEMENT ACTUELLIEN VERS LA POLITIQUE DE SÉCURITÉ DU SOUS-TRAITANT
OVH SAS2 rue Kellermann 59100 Roubaix, (France)France (OVH Cloud Gravelines (GRA3)
Rte de la Frm Masson
59820 Gravelinas)
https://www.ovhcloud.com/en-gb/personal-data-protection/security/
Amazon Web Services410 Terry Avenue North, Seattle, WA 98109-5210, ATTNFrance (Amazon Brétigny-sur-Orge
91220 Brétigny-sur-Orge)
https://aws.amazon.com/compliance/?nc1=h_ls
The Rocket Science Group (Mailchimp)675 Ponce De Leon Ave NE, Atlanta, Georgia 30308, USÉtats – Unishttps://mailchimp.com/about/security/