Cet addendum à la Digital Operational Resilience Act (« DORA ») (« Addendum ») est créé pour documenter la conformité avec le RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022 relatif à la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
Le présent avenant entrera en vigueur à compter de la date de signature des deux parties.
En cas d’incohérence ou de conflit entre les dispositions du présent Addenda et les dispositions de tout autre document référencé dans l’Accord, les termes du présent Addenda prévaudront dans la mesure de cette incohérence ou de ce conflit.
Accord - désigne la confirmation de commande, les conditions générales, l'accord de traitement des données, l'addendum DORA et les accords de niveau de service convenus entre Formalize et le client.
Services TIC - a le sens prescrit à l'article 3 de la DORA.
Données personnelles - désigne toute information telle que définie par l’article 4.1 du Règlement général sur la protection des données (UE) 2016/679.
Processeur - a le sens prescrit à l'article 4.8 du règlement général sur la protection des données (UE) 2016/679.
Services - désigne les services fournis au Client par Formalize dans le cadre du Contrat.
Sous-traitance - signifie le recours par Formalize à des sous-traitants pour remplir ses obligations et fournir ses Services en vertu du Contrat et du présent Addendum.
Le Client est une entité qui relève du champ d’application de DORA tel que défini à l’article 2 de DORA et/ou de sa loi nationale d’application.
Formalize s'engage à fournir au Client des Services qui constituent des Services TIC tels que définis dans DORA. Cet avenant a pour objectif de garantir que ces exigences et normes sont incluses dans l'Accord.
Aux fins du présent avenant, les parties supposent que Formalize ApS soutient les fonctions commerciales importantes ou critiques du client.
Une description claire et complète de toutes les fonctions et services TIC fournis par Formalize est disponible dans les Conditions générales qui font partie du présent Contrat. Ces services TIC doivent être considérés comme des services Cloud : SaaS.
Le Client a le devoir d’identifier lesquels de ces services soutiennent les fonctions commerciales importantes ou critiques du Client.
Le Client a le droit de contrôler en permanence les performances de Formalize dans le cadre du Contrat et les niveaux de service convenus. À cet égard, le Client bénéficie :
Pour faciliter l'exercice de ces droits, Formalize fournira au Client des certifications de tiers, des rapports d'audit internes et externes. Ceux-ci seront disponibles à tout moment dans le centre de confiance de Formalize comme expliqué plus en détail ci-dessous au point 4.3. Rapports.
En outre, le Client aura le droit de demander, avec une fréquence raisonnable et légitime du point de vue de la gestion des risques, des modifications de la portée des certifications ou des rapports d’audit à d’autres systèmes et contrôles pertinents et le droit contractuel d’effectuer des audits individuels et groupés à sa discrétion au regard des dispositions contractuelles et d’exécuter ces droits conformément à la fréquence convenue.
Formalize s'engage à informer le Client sans délai injustifié par écrit de tout développement susceptible d'avoir un impact important sur la capacité de Formalize à exécuter efficacement les Services conformément à :
Formalize se soumet à des audits annuels et, dans le cadre des certifications et rapports obtenus et renouvelés, le plan de contingence de l'entreprise est révisé et testé. Formalize effectue en outre, afin de maintenir les certifications et rapports susmentionnés, un test semestriel du plan de reprise après sinistre. De plus, Formalize effectue un test de pénétration annuel effectué par un tiers indépendant. Les résultats de ces exercices sont publiés sur la page Web de Formalize dans le Trust Center.
Le Client a le droit d'exiger de Formalize qu'il lui fournisse des rapports (y compris des rapports d'audit internes ou externes), selon le cas, lorsque ces rapports indiquent l'incapacité de Formalize à exécuter efficacement les Services conformément aux exigences énoncées dans la présente Clause.
Le Client a la responsabilité de fournir à Formalize et de maintenir à jour un courrier électronique spécifique où seront fournies les communications liées à DORA.
Les incidents seront gérés et communiqués au Client comme décrit dans l'accord de niveau de service.
Formalize fournira au Client toute l’assistance nécessaire en cas d’Incident découlant ou en relation avec les Services.
Toute assistance en rapport avec un incident lié aux TIC sera fournie par Formalize gratuitement, sauf accord contraire entre les parties.
Formalize peut faire appel à des sous-traitants pour exécuter une partie des Services (« Sous-traitance » à un « Partenaire sous-traitant »).
En ce qui concerne les Services sous-traités, la localisation, la longueur de la chaîne d'approvisionnement, la nature des données, le sous-traitant et les lieux de services (traitement et stockage des données), ces informations peuvent être trouvées dans le formulaire Formalize - DORA - Données du fournisseur et l'Accord de traitement des données, fournis avec cet Addendum.
Dans le cas où Formalize fait appel à des Partenaires Sous-Traitants pour réaliser une partie des prestations, Formalize reconnaît et accepte :
Formalize fournit dans l'accord de traitement des données un aperçu actualisé des emplacements (pays) où les services sous-traités sont fournis et où les données sont traitées, y compris le lieu de stockage.
Formalize informera le Client de toute modification des lieux où sont fournies les fonctions et services sous-traités.
Formalize a mis en œuvre des mesures techniques et organisationnelles appropriées compte tenu de l'état actuel du développement technologique et des mesures disponibles, y compris, entre autres, le cas échéant :
Nonobstant toute disposition contraire, pendant la durée du Contrat, le Client aura le droit d'accéder aux données lui appartenant, à tout moment, d'une manière compatible avec la fonctionnalité des Services.
En cas d’insolvabilité ou de cessation des activités commerciales de Formalize, le Client aura un accès sans entrave aux données lui appartenant.
La fourniture de services par Formalize comprend le traitement des données personnelles du client dans le cadre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement général sur la protection des données »), à cette fin, les parties ont conclu un accord de traitement des données distinct définissant les responsabilités et les obligations concernant ce traitement des données personnelles.
Le cas échéant, et au moins une fois par an, le personnel de Formalize participe à des programmes de sensibilisation à la sécurité.
Les employés concernés de Formalize peuvent être invités à participer aux programmes de sensibilisation à la sécurité des TIC du Client et à la formation à la résilience opérationnelle numérique si le Client considère que le contenu des programmes de sensibilisation de Formalize n'est pas suffisant aux fins du DORA.
Lorsque les programmes et formations ont un impact sur les activités commerciales normales de Formalize, Formalize a le droit de facturer des frais déterminés ex ante pour la disponibilité des employés.
La durée du présent avenant commence à la date de sa signature et reste pleinement en vigueur jusqu'à (i) la date à laquelle l'accord actif expire ou est résilié conformément aux termes de l'accord ; (ii) la date à laquelle l'accord actif est résilié conformément aux dispositions du présent avenant ; ou (iii) la date à laquelle le client n'est plus une entreprise soumise à DORA.
En plus des droits de résiliation du Client tels qu'énoncés dans les Conditions Générales, le Client peut résilier un Contrat dans les cas suivants :
En ce qui concerne les droits de résiliation décrits dans les clauses a, b et c, le Client doit fournir à Formalize un préavis écrit d'au moins 15 jours, qui servira de délai de correction pour que Formalize remédie à la violation, au risque ou à la faiblesse identifiée à la satisfaction raisonnable du Client. Si Formalize ne parvient pas à résoudre le problème de manière adéquate dans le délai de correction, le Client peut résilier le Contrat avec effet immédiat.
En cas de résiliation en vertu de la clause d, le Contrat sera réputé résilié immédiatement après notification écrite du Client, sans qu'il soit nécessaire de prévoir un délai de réparation.
La résiliation en vertu de la présente clause sera sans préjudice de tout autre droit ou recours dont dispose le Client en vertu du Contrat ou de la loi applicable.
L'objectif de cette section (ci-après dénommée « le Plan de sortie ») est de clarifier la période de transition adéquate pour les cas où l'Accord a ou a été résilié (ou est sur le point de l'être). Le Plan de sortie prévoit des mesures pour assurer une transition en douceur et dans les délais, en vertu desquelles Formalize est obligé de coopérer pleinement avec la sortie.
Le plan de sortie débute 30 jours avant la fin du contrat.
Sortie en douceur - 30 jours avant les résiliations
A compter de ce jour, et pendant les 30 jours suivants, le Client aura toujours accès aux Services, à toutes les applications et à toutes les données stockées, le Client pourra en profiter pour extraire les données pertinentes de l'infrastructure de Formalize. Durant ce délai, le Client devra communiquer à Formalize toute autre information qui n'aurait pas pu être extraite afin de lui permettre de migrer vers un autre prestataire de services ICT tiers ou de passer à des solutions internes cohérentes avec la complexité du service fourni.
Durant la phase de sortie en douceur, le client est responsable du lancement de toutes les activités d'exportation de données. Formalize aidera le client à exporter les éléments répertoriés sous Données ci-dessus.
Sortie définitive - Suppression des données - Jours 1 à 30 après la résiliation
À l'issue de la phase de sortie progressive, Formalize examinera et assurera la suppression de toutes les données du client de son infrastructure. Cette suppression aura lieu dans les 30 jours suivant la fin de la phase de sortie progressive, après quoi les informations seront conservées dans un stockage de sauvegarde pendant 90 jours.
À l'issue de la phase de sortie progressive, Formalize examinera et assurera la suppression de toutes les données du client de son infrastructure. Cette suppression aura lieu dans les 30 jours suivant la fin de la phase de sortie progressive, après quoi les informations seront conservées dans un stockage de sauvegarde pendant 90 jours.
Durant la phase de sortie définitive, Formalize est responsable de la suppression définitive de toutes les données Client de son infrastructure et d'informer le Client par écrit de l'achèvement du plan de sortie.
Coopération avec la sortie :
Formalize s'engage à coopérer pleinement à la mise en œuvre de la sortie et à réaliser tous les travaux nécessaires, sous réserve des limites établies ci-dessous.
Les services fournis par Formalize peuvent continuer après la date de résiliation et se poursuivre jusqu'à ce que la transition vers un nouveau fournisseur de services ou système soit entièrement achevée. Le client doit informer Formalize de son intention de continuer à accéder au système. Cette notification doit être effectuée avant la date de résiliation et les parties conviendront d'un accord intérimaire pour une période comprise entre 6 mois et 1 an, les coûts de l'accord intérimaire pouvant refléter une augmentation de prix ne dépassant pas 10 % par rapport à l'ancien accord.
Mise à jour du plan de sortie :
Le plan de sortie peut être mis à jour et révisé chaque année à la demande écrite du client en consultation avec Formalize, y compris un coût et un calendrier.
Toute demande formulée par le Client au titre du présent Addendum doit :
En cas de conflit ou d’incohérence entre le présent Addenda et les termes de l’Accord, le présent Addenda prévaudra.
Les modifications apportées à l'Accord ou à l'Avenant ne peuvent être convenues entre les Parties que par écrit.
Cet addendum est régi par la loi nationale danoise et par les réglementations européennes applicables auxquelles il est fait référence ici, DORA et les réglementations déléguées associées.
Si le tribunal déclare invalides des articles de cet addendum, les autres articles resteront pleinement en vigueur.
Les dispositions du présent avenant sont fondées sur la loi sur la résilience opérationnelle numérique (DORA), les actes délégués connexes, les normes techniques de mise en œuvre (ITS) et les normes techniques réglementaires (RTS). Dans le cas où l'un de ces instruments juridiques est modifié ou abrogé et qu'une disposition du présent avenant n'est plus reflétée ou requise par le cadre réglementaire applicable, cette disposition cessera de s'appliquer. Toutefois, les autres dispositions du présent avenant resteront pleinement en vigueur, sauf accord contraire des parties.
