Avenant pour clients réglementés (DORA / NIS2)
Le présent avenant complète les conditions générales de la société Datargo GmbH par les contenus contractuels obligatoires requis par la réglementation pour les entités financières au titre de DORA ainsi que pour les entités importantes et critiques au titre de NIS2.
1. Objet, champ d’application et relation avec les autres documents
(1) Le présent avenant pour clients réglementés (ci-après l’« avenant ») complète les conditions générales de la société Datargo GmbH, Francfort-sur-le-Main (ci-après « Datargo »), par les contenus contractuels obligatoires requis pour les clients réglementés en vertu du règlement (UE) 2022/2554 (Digital Operational Resilience Act, ci-après « DORA ») et de la directive (UE) 2022/2555 (ci-après « NIS2 ») ainsi que de leur transposition nationale respective.
(2) Le présent avenant s’applique exclusivement aux clients qui sont
| Catégorie | Description |
|---|---|
| Entité financière | une entité financière au sens de l’art. 2, paragraphes 1 et 2, de DORA (en particulier les établissements de crédit, les établissements de paiement et de monnaie électronique, les entreprises d’investissement, les entreprises d’assurance et de réassurance, les gestionnaires de fonds d’investissement alternatifs, les sociétés de gestion et les entreprises supervisées comparables). |
| Entité importante ou critique | une entité importante ou critique au sens de NIS2 et de sa transposition nationale. |
(3) Datargo fournit à ces clients des services de TIC au sens de l’art. 3, point 21, de DORA et est, à cet égard, prestataire tiers de services de TIC au sens de l’art. 3, point 19, de DORA. Le présent avenant reflète les contenus contractuels obligatoires requis par DORA et NIS2, dans la mesure où Datargo peut les fournir en sa qualité de fournisseur de logiciel en tant que service (Software-as-a-Service).
(4) Le présent avenant devient partie intégrante du contrat par convention expresse sous forme de texte ou par renvoi dans le contrat individuel. Lorsque le client désigne à Datargo les prestations souscrites comme étant destinées à soutenir une fonction critique ou importante au sens de l’art. 3, point 22, de DORA, les dispositions spécialement signalées dans le présent avenant pour les fonctions critiques ou importantes s’appliquent en outre.
(5) Dans la mesure où le présent avenant pour clients réglementés s’écarte des conditions générales, du Service Level Agreement , des conditions spécifiques aux modules ou du contrat de sous-traitance , le présent avenant prévaut pour son objet de réglementation. Pour le reste, les documents précités continuent de s’appliquer à titre complémentaire. Pour les questions relatives au traitement de données à caractère personnel, le contrat de sous-traitance prévaut. Pour le surplus, l’ordre de priorité réglé à l’article 20 des conditions générales fait foi (accord individuel avant contrat de sous-traitance et présent avenant avant Service Level Agreement et conditions spécifiques aux modules avant conditions générales).
(6) La responsabilité réglée à l’article 9 des conditions générales s’applique de manière uniforme et prioritaire à l’ensemble de la relation contractuelle. Le présent avenant ne fonde aucune responsabilité autonome ou étendue ; dans la mesure où il se réfère à la responsabilité, cela sert uniquement à des fins de clarification.
2. Définitions
En complément des définitions des conditions générales, les définitions suivantes s’appliquent au présent avenant :
| Terme | Signification |
|---|---|
| DORA | le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier. |
| NIS2 | la directive (UE) 2022/2555 ainsi que sa transposition nationale respective (en Allemagne notamment la loi de transposition de NIS2, NIS2-Umsetzungsgesetz). |
| Service de TIC | un service numérique et de données au sens de l’art. 3, point 21, de DORA, fourni au moyen des prestations de Datargo. |
| Fonction critique ou importante | une fonction au sens de l’art. 3, point 22, de DORA dont la défaillance porterait sérieusement atteinte à la capacité financière d’une entité financière ou à la solidité ou à la continuité de son activité. La qualification incombe exclusivement au client. |
| Autorité compétente | l’autorité de surveillance compétente pour le client ainsi que, le cas échéant, l’autorité de résolution compétente au sens de DORA et de NIS2. |
| Incident lié aux TIC | un incident lié aux TIC au sens de l’art. 3, point 8, de DORA, y compris les incidents majeurs au sens de l’art. 3, point 10, de DORA, dans la mesure où il concerne les prestations fournies au client. |
| Sous-traitant | un prestataire supplémentaire mandaté par Datargo au sens des conditions générales et, dans la mesure où des données à caractère personnel sont concernées, un sous-traitant ultérieur au sens du contrat de sous-traitance . |
| Registre d’information | le registre des accords contractuels relatifs à l’utilisation de services de TIC que le client doit tenir conformément à l’art. 28, paragraphe 3, de DORA. |
| TLPT | tests de pénétration fondés sur la menace (Threat-Led Penetration Testing) au sens des art. 26 et 27 de DORA. |
3. Description des prestations et des fonctions, emplacements des données
(1) Datargo fournit les prestations désignées dans le contrat individuel concerné et dans la description des prestations afférente (Datargo Monitor, Datargo CRM, Datargo ID, Datargo ERP, NextPKI ainsi que l’offre groupée Datargo One) en tant que logiciel en tant que service (Software-as-a-Service). La description complète et à jour des fonctions et des services de TIC, y compris d’éventuelles prestations sous-traitées, résulte de la description des prestations concernée, du tarif choisi et d’éventuels accords individuels (art. 30, paragraphe 2, point a, de DORA).
(2) Les prestations sont fournies au sein de l’Union européenne. L’hébergement ainsi que le traitement et le stockage des données du client s’effectuent dans un centre de données à Francfort-sur-le-Main (art. 30, paragraphe 2, point b, de DORA). Le verrouillage régional (Region-Pinning) ainsi que des accords d’exploitation et d’emplacement plus étendus peuvent être convenus au moyen de Datargo One.
(3) Datargo informe le client en temps utile sous forme de texte avant tout changement de l’emplacement de traitement ou de stockage des données du client, et indique les conditions d’un tel transfert. Lorsqu’un transfert envisagé prévoit un traitement ou un stockage en dehors de l’Union européenne, celui-ci requiert l’accord préalable du client sous forme de texte ; à défaut, le client dispose d’un droit de résiliation conformément à l’article 11.
(4) Datargo garantit, dans le cadre des prestations convenues, la disponibilité, l’authenticité, l’intégrité et la confidentialité des données traitées, y compris la protection des données à caractère personnel (art. 30, paragraphe 2, point c, de DORA). Les mesures techniques et organisationnelles résultent du contrat de sous-traitance et des mesures qui y sont documentées conformément à l’art. 32 du RGPD.
(5) Datargo garantit l’accès aux données du client ainsi que leur restauration et leur restitution dans un format aisément accessible, couramment utilisé et lisible par machine (art. 30, paragraphe 2, point c, de DORA). Les modalités sont réglées à l’article 9 (stratégie de sortie et réversibilité).
4. Niveaux de service et objectifs de performance
(1) Les niveaux de service applicables aux prestations, en particulier la disponibilité, la méthode de mesure, la maintenance ainsi que les délais de réaction et les heures de service, résultent du Service Level Agreement (art. 30, paragraphe 2, point d, de DORA).
(2) Lorsque les prestations soutiennent une fonction critique ou importante, les parties conviennent, à la demande du client, d’une description complète des prestations assortie d’objectifs de performance quantitatifs et qualitatifs précis ainsi que de dispositions relatives à l’adaptation de ces objectifs (art. 30, paragraphe 3, point a, de DORA). Des niveaux de service plus étendus ou divergents, en particulier des objectifs de disponibilité accrus ou des délais de réaction raccourcis, sont conclus en tant qu’accord individuel et prévalent sur le Service Level Agreement.
(3) Datargo surveille en continu le respect des objectifs de performance convenus et met à la disposition du client, sur demande et dans une mesure raisonnable, des rapports pertinents sur l’exécution des prestations.
5. Droits d’accès, d’inspection et d’audit ; droits des autorités de surveillance
(1) Datargo accorde au client et aux contrôleurs qu’il mandate ainsi qu’à l’autorité compétente des droits d’accès, d’inspection et d’audit concernant les prestations fournies au client (art. 30, paragraphe 2, point e, et paragraphe 3, point e, de DORA). Ces droits comprennent l’accès aux informations, systèmes et locaux pertinents, dans la mesure où cela est nécessaire à l’exercice des obligations réglementaires du client.
(2) Priorité aux preuves documentaires. Datargo démontre le respect des exigences applicables en matière de sécurité et de conformité en priorité au moyen de preuves appropriées et à jour, en particulier au moyen de certifications reconnues et de rapports d’audit indépendants (par exemple ISO/IEC 27001 ou normes comparables, une attestation BSI-C5 ou un rapport SOC 2 de type II), d’auto-évaluations ainsi que de rapports de synthèse sur les audits et les tests. Datargo met ces preuves à la disposition du client sur demande et dans une mesure raisonnable. Le client accepte de telles preuves dans la mesure où elles couvrent le domaine audité et sont à jour.
(3) Audit sur site. Lorsque les preuves présentées conformément au paragraphe 2 ne suffisent pas dans un cas particulier ou lorsque l’autorité compétente exige un audit plus approfondi, le client peut réaliser un audit sur site ou le faire réaliser par un tiers approprié. Pour sa réalisation, ce qui suit s’applique :
| Aspect | Règle |
|---|---|
| Contrôleur | le client lui-même, un contrôleur indépendant qu’il mandate, tenu au secret et n’étant pas en concurrence avec Datargo, ou l’autorité compétente. |
| Préavis | après un préavis raisonnable sous forme de texte ; en cas d’audit par une autorité compétente ou en présence d’un motif concret (par exemple à la suite d’un incident majeur), le délai est raccourci à la mesure exigée par l’autorité ou par le motif. |
| Moment et lieu | pendant les heures d’ouverture habituelles, sans perturbation déraisonnable de l’exploitation de Datargo. |
| Étendue | limitée aux prestations fournies au client et au respect des exigences contractuelles et réglementaires ; dans le respect des intérêts de confidentialité de Datargo et des droits de protection des tiers et des autres clients (séparation des mandants). |
| Fréquence | en règle générale au maximum une fois par année civile ; des audits supplémentaires en présence d’un motif concret ou à la demande d’une autorité compétente. |
| Copies | le droit de consulter sur place les documents pertinents lors de l’audit et, dans la mesure où cela est nécessaire pour des fonctions critiques ou importantes, d’en prendre des copies, à moins que des intérêts de confidentialité, de protection des données ou de sécurité ne s’y opposent. |
(4) Droits d’audit étendus pour les fonctions critiques ou importantes. Lorsque les prestations soutiennent une fonction critique ou importante, Datargo accorde au client et à l’autorité compétente des droits illimités d’accès, d’inspection et d’audit ainsi que le droit de prendre sur site des copies des documents pertinents (art. 30, paragraphe 3, point e, de DORA). Datargo coopère pleinement et de bonne foi aux audits et ne limite pas ces droits au-delà de la mesure nécessaire à la protection des intérêts de confidentialité, de protection des données et de sécurité ainsi que de la séparation des mandants.
(5) Droits d’accès des autorités et coopération. Datargo coopère sans restriction avec les autorités de surveillance et de résolution compétentes pour le client et leur permet d’exercer leurs droits de surveillance, de contrôle et d’accès, y compris les audits sur site (art. 30, paragraphe 2, point f, de DORA). Datargo informe le client des demandes des autorités concernant les prestations qui lui sont fournies, dans la mesure où cela est juridiquement licite.
(6) Les coûts des audits prévus au paragraphe 3 sont à la charge du client, à moins que l’audit ne révèle un défaut substantiel imputable à Datargo ; dans ce cas, Datargo supporte les coûts raisonnables qui lui sont imputables. Datargo peut exiger une rémunération appropriée pour les prestations de soutien dépassant la charge habituelle, à moins que DORA ne s’y oppose. Les audits des autorités sont réalisés sans rémunération distincte.
6. Sous-traitance et sous-traitants
(1) Datargo est en droit de recourir à des sous-traitants pour l’exécution des prestations. Datargo les sélectionne avec soin, les surveille et demeure responsable de leurs prestations comme de son propre comportement. Les sous-traitants respectivement employés qui traitent des données à caractère personnel sont consultables sous sous-traitants ultérieurs .
(2) Sous-traitance pour les fonctions critiques ou importantes. Lorsque les prestations soutiennent une fonction critique ou importante, les conditions relatives à la sous-traitance prévues à l’art. 30, paragraphe 2, point a, de DORA s’appliquent en outre. Datargo oblige contractuellement le sous-traitant au respect des obligations de sécurité, de disponibilité, d’audit et de coopération déterminantes pour la fonction concernée, qui correspondent à celles du présent avenant, y compris les droits d’accès et d’audit du client et de l’autorité compétente ainsi que la localisation au sein de l’Union européenne.
(3) Information préalable et droit d’opposition. Datargo informe le client en temps utile sous forme de texte de tout changement envisagé dans la composition des sous-traitants soutenant une fonction critique ou importante. Le client peut s’opposer au changement dans un délai raisonnable pour un motif réglementaire ou de sécurité important. En cas d’opposition justifiée, les parties rechercheront une solution consensuelle ; à défaut, le client dispose d’un droit de résiliation conformément à l’article 11 pour la prestation concernée.
(4) Datargo communique sans délai au client les changements substantiels susceptibles de porter une atteinte importante à l’aptitude d’un sous-traitant à soutenir une fonction critique ou importante.
7. Notification des incidents liés aux TIC
(1) Datargo informe le client sans délai des incidents liés aux TIC concernant les prestations qui lui sont fournies, ainsi que des cybermenaces et vulnérabilités importantes, dans la mesure où elles sont pertinentes pour le client (art. 30, paragraphe 2, point f, et paragraphe 3, point c, de DORA).
(2) Délais de notification. L’information est fournie sans retard fautif, en règle générale dans les 24 heures suivant la prise de connaissance d’un incident majeur concernant les prestations du client. Datargo informe, dans une première notification, de la nature, de l’ampleur connue et des effets prévisibles ainsi que des mesures engagées, et actualise l’information de manière continue jusqu’à ce que l’incident soit résolu. Datargo met à la disposition du client, dans la mesure du possible et en temps utile, les informations nécessaires à ses propres obligations de notification prudentielle au titre de l’art. 19 de DORA et au titre de NIS2.
(3) Datargo assiste le client dans l’évaluation, le traitement et la résolution d’un incident lié aux TIC dans la mesure convenue. Pour les incidents concernant les prestations du client, l’assistance est fournie sans coût supplémentaire ; toute charge dépassant cela, à déterminer au préalable, est convenue séparément (art. 30, paragraphe 2, point f, de DORA).
(4) La notification des violations de la protection des données à caractère personnel est régie à titre complémentaire par le contrat de sous-traitance et par les art. 33 et 34 du RGPD.
8. Continuité d’activité, sécurité et tests fondés sur la menace
(1) Datargo maintient des dispositifs appropriés de gestion de crise, de reprise et de rétablissement ainsi que des mesures de sécurité des TIC conformes à l’état de la technique et en vérifie régulièrement l’efficacité (art. 30, paragraphe 3, point c, de DORA). Sur demande, Datargo met à la disposition du client, dans une mesure raisonnable, des informations de synthèse sur les dispositifs et les résultats des tests.
(2) Tests de pénétration fondés sur la menace (TLPT). Lorsque le client est soumis à l’obligation de réaliser des tests de pénétration fondés sur la menace conformément aux art. 26 et 27 de DORA et que ces tests englobent les prestations fournies par Datargo, Datargo coopère à leur réalisation dans une mesure raisonnable (art. 30, paragraphe 3, point d, de DORA). L’étendue, le moment, la méthodologie, la rémunération et les mesures de protection, en particulier pour préserver la sécurité et la séparation des mandants vis-à-vis des autres clients dans un environnement multi-mandants, sont fixés dans un accord distinct. Dans la mesure où un test groupé (Pooling-Test) au sens de l’art. 26, paragraphe 4, de DORA est envisageable, Datargo soutient la concertation avec les autres entités financières concernées.
(3) Sensibilisation et formation. À la demande du client et dans une mesure raisonnable, Datargo participe aux programmes du client de sensibilisation à la sécurité des TIC et de formation à la résilience opérationnelle numérique, dans la mesure où ils concernent la collaboration dans le cadre du présent contrat (art. 30, paragraphe 2, point g, de DORA).
9. Stratégie de sortie et réversibilité
(1) Datargo assiste le client dans une sortie ordonnée de la relation contractuelle, que ce soit aux fins de migration vers un autre fournisseur ou de réintégration dans une solution propre du client (art. 28, paragraphe 8, et art. 30, paragraphe 3, point f, de DORA).
(2) Période transitoire. Lorsque les prestations soutiennent une fonction critique ou importante, Datargo continue de fournir les prestations concernées, à la demande du client, après la fin du contrat pendant une période transitoire raisonnable pouvant aller jusqu’à douze mois aux conditions antérieures contre la rémunération convenue, afin d’éviter une interruption chez le client ou une atteinte à sa liquidation ordonnée. Le client communique le recours à cette possibilité et la durée souhaitée en temps utile avant la fin du contrat.
(3) Restitution des données. Datargo restitue au client ses données dans un format aisément accessible, couramment utilisé, structuré et lisible par machine et permet leur exportation. Datargo assiste la migration des données et, dans la mesure convenue, des configurations vers un système cible dans la mesure nécessaire et raisonnable. Les prestations de migration et de transition dépassant l’étendue habituelle de l’exportation sont fournies contre une rémunération appropriée, à déterminer au préalable.
(4) Sortie ordonnée. Datargo coopère, pendant la période transitoire, à une sortie ordonnée, en particulier par la mise à disposition de la documentation et des informations nécessaires ainsi que par la coopération requise lors des tests de réversibilité. Une fois la sortie achevée et la période transitoire écoulée, Datargo supprime les données du client et les copies existantes ou les restitue, à moins qu’une obligation légale de conservation ne s’y oppose. Les obligations de suppression et de restitution en matière de protection des données sont régies à titre complémentaire par le contrat de sous-traitance .
(5) Sur demande, Datargo met à la disposition du client les informations dont celui-ci a besoin pour établir et tenir à jour sa propre stratégie de sortie conformément à l’art. 28, paragraphe 8, de DORA, dans la mesure où elles concernent les prestations qui lui sont fournies.
10. Soutien au registre d’information
(1) Datargo met à la disposition du client les informations dont celui-ci a besoin pour tenir et actualiser son registre d’information conformément à l’art. 28, paragraphe 3, de DORA en ce qui concerne les accords contractuels existants avec Datargo, en particulier les indications relatives aux prestations souscrites, aux emplacements des données et, pour les fonctions critiques ou importantes, aux sous-traitants employés.
(2) Dans la mesure où Datargo dispose des identifiants nécessaires à cet effet (en particulier l’identifiant d’entité juridique, Legal Entity Identifier, LEI), Datargo le communique au client sur demande. Datargo assiste le client lors des questions de plausibilité relatives aux indications pertinentes pour le registre dans une mesure raisonnable.
(3) La responsabilité de l’établissement, de l’exhaustivité, de l’exactitude et de la transmission dans les délais du registre d’information à l’autorité compétente demeure auprès du client.
11. Droits de résiliation
(1) Au-delà des droits de résiliation des conditions générales, le client peut résilier le contrat ou la prestation concernée pour motif important lorsque l’une des circonstances de l’art. 28, paragraphe 7, de DORA est réunie, en particulier lorsque
| Lettre | Motif de résiliation (art. 28, paragraphe 7, de DORA) |
|---|---|
| a | Datargo viole de manière importante les dispositions législatives et réglementaires applicables ou les conditions contractuelles ; |
| b | dans le cadre de la surveillance du risque lié aux prestataires tiers de TIC, des circonstances sont constatées qui sont de nature à modifier l’exécution des fonctions convenues contractuellement, y compris des changements substantiels affectant l’accord ou la situation de Datargo ; |
| c | il existe chez Datargo des faiblesses avérées dans la gestion du risque lié aux TIC, en particulier dans la garantie de la disponibilité, de l’authenticité, de l’intégrité et de la confidentialité des données ; ou |
| d | l’autorité compétente ne peut plus surveiller efficacement le client en raison des conditions ou des circonstances chez Datargo. |
(2) Datargo accorde au client, pour la résiliation prévue au paragraphe 1, des délais de préavis minimaux appropriés conformes aux attentes des autorités compétentes (art. 30, paragraphe 2, point h, de DORA). Le droit de résiliation ordinaire ainsi que les droits de résiliation résultant des conditions générales demeurent inchangés.
(3) En cas de résiliation au titre du présent avenant, les dispositions relatives à la stratégie de sortie et à la réversibilité prévues à l’article 9 s’appliquent, en particulier celles relatives à la période transitoire et à la restitution des données.
12. Coopération de la chaîne d’approvisionnement NIS2
(1) Dans la mesure où le client est soumis à NIS2 en tant qu’entité importante ou critique, Datargo assiste le client dans l’exécution de ses obligations relatives à la sécurité de la chaîne d’approvisionnement conformément à l’art. 21, paragraphe 2, de NIS2 et à sa transposition nationale.
(2) Datargo prend des mesures de sécurité techniques et organisationnelles appropriées, conformes à l’état de la technique (voir le contrat de sous-traitance ), maintient une gestion des incidents de sécurité et met à la disposition du client, sur demande et dans une mesure raisonnable, des preuves des mesures prises (par exemple certificats, attestations ou rapports d’audit).
(3) Datargo informe le client sans délai des incidents de sécurité concernant les prestations qui lui sont fournies et l’assiste dans le respect de ses obligations de notification envers les autorités compétentes, y compris les délais applicables au titre de NIS2 (en particulier alerte précoce, notification et rapport final). Les délais de notification et les modalités sont régis par l’article 7, qui s’applique à cet égard par analogie.
(4) Datargo coopère avec le client dans la gestion et le suivi des incidents de sécurité dans la chaîne d’approvisionnement dans la mesure convenue et désigne à cet effet des interlocuteurs et des voies de contact appropriés.
13. Responsabilité réglementaire résiduelle du client
(1) La responsabilité du respect des exigences réglementaires applicables au client, en particulier au titre de DORA et de NIS2, demeure exclusivement auprès du client. Elle n’est pas transférable à Datargo sur le plan réglementaire.
(2) Datargo assiste le client dans l’exécution de ses obligations dans le cadre du présent avenant, mais ne garantit pas que l’utilisation des prestations satisfasse à elle seule aux exigences réglementaires du client. Il incombe notamment au client la qualification des fonctions critiques ou importantes, sa propre gestion du risque lié aux TIC, la tenue du registre d’information, ses propres notifications prudentielles et l’établissement de sa propre stratégie de sortie.
(3) La promotion ou la désignation des prestations comme aptes à soutenir les exigences de DORA ou de NIS2 ne fonde aucune garantie ni aucune obligation de Datargo allant au-delà du présent avenant.
14. Obligations non raisonnablement exigibles ; accord individuel
(1) Dans la mesure où une exigence prévue par DORA ou NIS2 pour les fonctions critiques ou importantes dépasse ce que Datargo peut fournir, en sa qualité de fournisseur d’un logiciel en tant que service standard et multi-mandants, avec une charge raisonnable et dans le respect de la sécurité et des droits des autres clients, cette exigence fait l’objet d’un accord individuel distinct. Cela concerne en particulier les tests de pénétration individuels plus étendus, les accès individuels sur site à des systèmes multi-mandants, les objectifs individuels de disponibilité ou de reprise ainsi que les prescriptions individuelles d’emplacement ou d’exploitation.
(2) Les parties négocient de telles exigences de bonne foi dans le but de trouver une solution satisfaisant aux prescriptions réglementaires du client et raisonnablement exigible de Datargo. Un tel accord individuel prévaut sur le présent avenant.
15. Dispositions finales
(1) Dans la mesure où le présent avenant ne prévoit pas de dispositions divergentes, les conditions générales s’appliquent à titre complémentaire, en particulier en ce qui concerne le droit applicable, le for, la forme de texte et le traitement des dispositions inefficaces.
(2) En cas de modification des exigences juridiques ou réglementaires déterminantes pour les clients réglementés, les parties adapteront le présent avenant de bonne foi dans la mesure nécessaire.
Version linguistique faisant foi
Le présent document est fourni en allemand, en anglais et en français. Les versions anglaise et française sont des traductions fournies uniquement à des fins de commodité. La version allemande fait foi et est seule contraignante en cas de litige ou de divergence d’interprétation ou de traduction.