Le présent avenant (« Addendum ») de la loi sur la résilience opérationnelle numérique (« DORA ») a été créé pour rendre compte de la conformité avec le RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022, relatif à la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
Le présent avenant entrera en vigueur à compter de la date de signature des deux parties.
En cas d'incohérence ou de conflit entre les dispositions du présent avenant et les dispositions de tout autre document mentionné dans l'Accord, les termes du présent avenant prévalent dans la mesure de cette incohérence ou de ce conflit
Accord - désigne la confirmation de commande, les Conditions générales, l'accord de traitement des données, l’avenant relatif à DORA et les accords de niveau de service convenus entre Formalize et le Client.
Services TIC - a la signification prescrite dans l'article 3 de DORA.
Données à caractère personnel - désigne toute information telle que définie dans l'article 4(1) du Règlement général sur la Protection des données (EU) 2016/679.
Sous-traitant - a la signification prescrite dans l'article 4(8) du Règlement général sur la Protection des données (EU) 2016/679.
Services - désigne les services fournis au Client par Formalize dans le cadre de l’Accord.
Sous-traitance - désigne l'utilisation par Formalize de sous-traitants pour remplir ses obligations et fournir ses services en vertu de l’Accord et du présent avenant.
Le Client est une entité qui relève du champ d'application DORA tel que défini à l'article 2 de DORA et/ou sa loi nationale d'application.
Formalize s'engage à fournir au Client des services considérés comme des services TIC au sens de DORA. L’objectif du présent avenant est de garantir que ces exigences et normes sont incluses dans l’Accord.
Aux fins du présent avenant, les Parties partent du principe que Formalize ApS prend en charge les fonctions métiers importantes ou critiques du Client.
Une description claire et complète de toutes les fonctions et de tous les services TIC à fournir par Formalize peut être trouvée dans les Conditions générales qui font partie de ce Contrat. Ces services TIC seront considérés comme des services Cloud : SaaS.
Le Client a le devoir d'identifier lesquels de ces services soutiennent les fonctions métiers importantes ou critiques du Client.
Le Client est en droit de surveiller en permanence les performances de Formalize en rapport avec l’Accord et les niveaux de service convenus. À cet égard, il est conféré au Client :
Pour faciliter l'exercice de ces droits, Formalize fournira au Client des certifications de tiers, des rapports d'audit interne et externe. Ceux-ci seront disponibles à tout moment dans le centre de confiance de Formalize, comme expliqué ci-dessous au point 4.3. Rapport.
En outre, le Client aura le droit de demander, à une fréquence raisonnable et légitime au regard de la gestion des risques, des modifications du champ d'application des certifications ou des rapports d'audit à d'autres systèmes et contrôles pertinents, ainsi que le droit contractuel d'effectuer des audits individuels et groupés à sa discrétion au regard des dispositions contractuelles et d'exécuter ces droits conformément à la fréquence convenue.
Formalize s'engage à notifier par écrit au Client, dans les meilleurs délais, tout développement susceptible d'avoir un impact significatif sur la capacité de Formalize à fournir les services de manière efficace et en conformité avec les règles suivantes:
Formalize fait l'objet d'audits annuels et, dans le cadre des certifications et des rapports obtenus et renouvelés, le plan de contingence de l'entreprise est examiné et testé. Afin de maintenir les certifications et rapports susmentionnés, Formalize effectue un test semestriel du plan de reprise après sinistre. En outre, Formalize réalise chaque année un test de pénétration réalisé par un tiers indépendant. Les résultats de ces exercices sont publiés sur la page web de Formalize dans le centre de confiance.
Le Client a le droit de demander à Formalize de lui fournir des rapports (y compris des rapports d'audit interne ou externe), le cas échéant, lorsque ces rapports soulignent l'incapacité de Formalize à fournir efficacement les services conformément aux exigences énoncées dans la présente clause.
Le Client a la responsabilité de fournir à Formalize et de maintenir à jour une adresse électronique spécifique où les communications relatives à DORA seront transmises.
Les incidents seront gérés et communiqués au Client comme décrit dans l'accord de niveau de service.
Formalize fournira au Client toute l'assistance nécessaire en cas d'Incident découlant des Services ou en rapport avec ceux-ci.
Toute assistance liée à un Incident lié aux TIC sera fournie par Formalize gratuitement, sauf accord contraire entre les Parties.
Formalize peut avoir recours à des sous-traitants pour réaliser une partie des services ( « sous-traitance » à un « partenaire sous-traitant »).
En ce qui concerne les services sous-traités, la localisation, la longueur de la chaîne d'approvisionnement, la nature des données, le sous-traitant et les lieux des services (traitement et stockage des données), ces informations figurent dans le formulaire Formalize - DORA - Données du Fournisseur et l'accord sur le traitement des données, fournis avec le présent avenant.
Dans le cas où Formalize fait appel à des partenaires sous-traitants pour la réalisation d'une partie des services, Formalize reconnaît et accepte :
Formalize fournit dans l'accord sur le traitement des données un aperçu actualisé des lieux (pays) où les services sous-traités sont fournis et où les données sont traitées, y compris le lieu de stockage.
Formalize informera le Client de toute modification des lieux où les fonctions et services sous-traités sont fournis.
Formalize a mis en œuvre les mesures techniques et organisationnelles appropriées en tenant compte de l'état actuel du développement technologique et des mesures disponibles incluant, entre autres, le cas échéant :
Nonobstant toute disposition contraire, le Client a le droit, pendant la durée des accords, d'accéder aux données qui lui appartiennent, à tout moment, d'une manière compatible avec la fonctionnalité des Services.
En cas d'insolvabilité ou de cessation des activités de Formalize, le Client aura un accès illimité aux données qui lui appartiennent.
La fourniture des Services par Formalize inclut le traitement des Données Personnelles du Client dans le cadre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement général sur la protection des données »), à cette fin, les Parties ont conclu un accord de traitement des données distinct établissant les responsabilités et les obligations relatives à ce traitement des Données Personnelles.
Le cas échéant, et au moins une fois par an, le personnel de Formalize participe à des programmes de sensibilisation à la sécurité.
Il peut être demandé aux employés concernés de Formalize de participer aux programmes de sensibilisation à la sécurité des TIC et à la formation à la résilience opérationnelle numérique du Client si ce dernier considère que le contenu des programmes de sensibilisation de Formalize n'est pas suffisant pour les besoins de la loi DORA.
Lorsque les programmes et la formation ont un impact sur les activités commerciales normales de Formalize, Formalize a le droit de facturer des frais déterminés ex ante pour la disponibilité des employés.
Le présent avenant prend effet à la date de sa signature et reste pleinement en vigueur jusqu'à (i) la date à laquelle l'Accord en vigueur expire ou est résilié conformément aux dispositions de l’Accord ; (ii) la date à laquelle l'Accord en vigueur est résilié conformément aux dispositions du présent avenant ; ou (iii) la date à laquelle le Client n'est plus une entreprise soumise à la loi DORA.
Outre les droits de résiliation du client énoncés dans les conditions générales, le Client peut résilier l'Accord dans les cas suivants :
En ce qui concerne les droits de résiliation décrits dans les clauses a, b et c, le Client doit fournir à Formalize un préavis écrit d'au moins 15 jours, qui servira de période de remédiation pour que Formalize puisse remédier à la violation, au risque ou à la faiblesse identifiés à la satisfaction raisonnable du Client. Si Formalize ne parvient pas à résoudre le problème de manière adéquate au cours de la période de remédiation, le Client peut résilier l’Accord avec effet immédiat.
En cas de résiliation en vertu de la clause d, l'Accord est considéré comme résilié dès que le Client le notifie par écrit, sans qu'il soit nécessaire de prévoir une période de remédiation.
La résiliation en vertu de la présente clause est sans préjudice de tout autre droit ou recours dont dispose le Client en vertu de l’Accord ou de la législation applicable.
L'objectif de cette section (ci-après dénommée « le Plan de sortie ») est de fournir des éclaircissements sur une période de transition adéquate dans les cas où l'Accord a été résilié (ou est sur le point de l'être). Le Plan de sortie prévoit des mesures visant à assurer une transition en douceur et en temps opportun, Formalize étant tenue de coopérer pleinement à la sortie.
Le plan de sortie commence 30 jours avant la fin de l'Accord.
Phase de sortie progressive - 30 jours avant la résiliation:
A compter de ce jour, et pendant les 30 jours suivants où le Client a encore accès aux Services, à toutes les applications et à toutes les données stockées, le Client devra saisir l'opportunité d'extraire les données en question de l'infrastructure de Formalize. Pendant cette durée, le Client devra communiquer à Formalize toute autre information qui n'a pas pu être extraite afin de permettre au Client de migrer vers un autre prestataire tiers de services TIC ou de passer à des solutions internes en adéquation avec la complexité du service fourni.
Pendant la phase de sortie progressive, le Client a la responsabilité d'initier toutes les activités d'exportation de données. Formalize aidera le Client à exporter les éléments énumérés dans la section Données ci-dessus.
Phase d’exclusion - Jours 1 à 30 après la résiliation :
Après la phase de sortie progressive, Formalize examinera et assurera le retrait de toutes les données du Client de son infrastructure. Cette suppression aura lieu dans les 30 jours suivant la fin de la phase de sortie progressive, après quoi les informations seront conservées dans un espace de stockage de sauvegarde pendant 90 jours.
Après la phase de sortie progressive, Formalize examinera et assurera le retrait de toutes les données du Client de son infrastructure. Cette suppression aura lieu dans les 30 jours suivant la fin de la phase de sortie progressive, après quoi les informations seront conservées dans un espace de stockage de sauvegarde pendant 90 jours.
Pendant la phase d’exclusion, Formalize est responsable de la suppression définitive de toutes les données du Client de son infrastructure et d'informer le Client par écrit de l'achèvement du Plan de sortie.
Coopération à la sortie :
Formalize est tenu de coopérer pleinement à la mise en œuvre de la sortie et d'effectuer tous les efforts nécessaires, sous réserve des limites établies ci-dessous.
Les services de Formalize peuvent se poursuivre après la date de résiliation et jusqu'à ce que la transition vers un nouveau prestataire de services ou un nouveau système soit entièrement achevée. Le Client doit informer Formalize de son intention de continuer à accéder au Système. Cette notification doit être effectuée avant la date de résiliation et les parties conviendront d'un accord provisoire pour une période comprise entre 6 mois et 1 an, les coûts de l'accord provisoire pouvant refléter une augmentation de prix ne dépassant pas 10 % par rapport à l'Accord précédent.
Mise à jour du Plan de sortie :
Le Plan de sortie pourra être mis à jour et révisé chaque année à la demande écrite du Client en consultation avec Formalize, comprenant un coût et un calendrier.
Toute demande formulée par le Client en vertu du présent avenant doit :
En cas de conflit ou d'incohérence entre le présent avenant et les termes de l'Accord, le présent avenant prévaudra.
Les modifications de l'Accord ou de son avenant ne peuvent être convenues entre les Parties que par écrit.
Le présent avenant est régi par le droit national danois et les règlements européens applicables auxquels il est fait référence dans le présent document, la loi DORA et les règlements connexes
Si le tribunal déclare des articles du présent avenant invalides, les autres articles resteront pleinement en vigueur.
Les dispositions du présent avenant sont fondées sur le règlement relatif à la résilience opérationnelle numérique (DORA), ses dispositions connexes, les normes techniques de mise en œuvre (ITS) et les normes techniques de réglementation (RTS). Si l'un de ces instruments juridiques est modifié ou abrogé et qu'une disposition du présent avenant n'est plus reflétée ou exigée dans le cadre réglementaire applicable, cette disposition cessera de s'appliquer. Toutefois, les autres dispositions du présent avenant resteront pleinement en vigueur, sauf accord contraire des parties.
