Conditions particulières Datargo Monitor
Les présentes conditions particulières complètent les conditions générales de Datargo GmbH et régissent les spécificités du module Datargo Monitor pour les clients professionnels et Enterprise.
1. Champ d’application, rapport avec les autres documents et ordre de priorité
(1) Les présentes conditions particulières (ci-après les « Conditions particulières Monitor ») s’appliquent exclusivement à l’utilisation du module Datargo Monitor et complètent les conditions générales de Datargo GmbH (ci-après « Datargo »). Elles s’adressent exclusivement aux entrepreneurs au sens du § 14 BGB (Code civil allemand), aux personnes morales de droit public et aux patrimoines spéciaux de droit public.
(2) Dans la mesure où les présentes Conditions particulières Monitor et les conditions générales se contredisent dans le contexte de Datargo Monitor, les présentes Conditions particulières Monitor prévalent. Pour le surplus, les conditions générales, en particulier la clause de responsabilité qui y figure (l’article 9 des conditions générales), demeurent inchangées et s’appliquent à titre complémentaire. Toute référence dans les présentes Conditions particulières Monitor à « la clause de responsabilité » renvoie à l’article 9 des conditions générales.
(3) L’ordre de priorité suivant s’applique : l’accord individuel prime le contrat de sous-traitance (AVV) , qui prime le Service Level Agreement ainsi que les présentes Conditions particulières Monitor, lesquelles priment les conditions générales. Pour les questions relatives au traitement de données à caractère personnel, le contrat de sous-traitance prévaut. Des dispositions spécifiques aux clients réglementés figurent dans l’avenant DORA pour les clients financiers , qui prime les présentes Conditions particulières Monitor dans la mesure où il prévoit expressément des dispositions divergentes pour les clients réglementés.
2. Définitions
Pour les présentes Conditions particulières Monitor, les définitions suivantes s’appliquent en complément des conditions générales :
| Terme | Signification |
|---|---|
| Plateforme | L’environnement Software-as-a-Service exploité par Datargo et au moyen duquel Datargo Monitor est mis à disposition. |
| Vérification (Check) | Une mesure ou interrogation unique, répétée de manière automatisée, visant à observer une cible définie par le client (cible de vérification). |
| Cible de vérification | Le système, le point de terminaison, l’adresse ou la ressource désigné par le client à des fins de surveillance. |
| Intervalle de vérification | L’écart de temps selon lequel une vérification est répétée. |
| Région de vérification | Un lieu d’exécution séparé sur le plan géographique ou sur celui de la topologie réseau, depuis lequel une vérification est effectuée. |
| Quorum | Le nombre minimal de résultats de vérification concordants provenant de plusieurs régions de vérification, à partir duquel un événement est considéré comme confirmé. |
| Événement | Un écart, détecté par Datargo Monitor, par rapport à l’état attendu d’une cible de vérification (notamment indisponibilité, dépassement de délai, écart de contenu ou de statut). |
| Alarme (Alert) | La notification dérivée d’un événement et adressée aux destinataires enregistrés par le client. |
| Canal tiers | Une voie de transmission des alarmes non exploitée par Datargo, en particulier la téléphonie mobile (SMS, appel vocal), les services de notification push ou la messagerie électronique. |
| Systèmes surveillés | Les systèmes, applications et infrastructures du client que celui-ci surveille au moyen de Datargo Monitor. |
3. Description des prestations
(1) Datargo Monitor est un service d’observation automatisée de cibles de vérification définies par le client. Datargo effectue les vérifications configurées par le client selon les intervalles de vérification convenus, en évalue les résultats et met à la disposition du client des informations de statut, un historique des incidents et des rapports.
(2) Datargo Monitor prend notamment en charge les types de vérification suivants. L’étendue concrète des fonctionnalités dues résulte du tarif choisi et de la description des prestations :
| Type de vérification | Objet |
|---|---|
| Vérification d’accessibilité et de connexion | Observation visant à déterminer si une cible de vérification est accessible via le réseau et répond dans le délai attendu. |
| Vérification d’application et de contenu | Observation des contenus de réponse, des indications de statut ou des valeurs attendues d’une application. |
| Vérification de certificat et de validité | Observation de la validité et de l’expiration des certificats de sécurité enregistrés de la cible de vérification. |
| Vérification du temps de réponse et de performance | Observation des temps de réponse et de traitement d’une cible de vérification. |
| Message de statut défini par le client | Évaluation de signaux de statut fournis ou envoyés par le client (par exemple signes de vie périodiques de tâches planifiées). |
(3) Les intervalles de vérification sont configurables par le client dans le cadre des prescriptions tarifaires. Datargo s’efforce de respecter les intervalles configurés, mais ne doit pas une exécution à la seconde près. Pour des raisons opérationnelles, en particulier de répartition de charge, le moment effectif d’exécution peut s’écarter légèrement du moment configuré.
(4) Datargo peut confirmer des événements via plusieurs régions de vérification avant le déclenchement d’une alarme (confirmation multirégionale, voir l’article 7). L’évaluation s’effectue selon les procédures décrites dans le tarif concerné et les seuils choisis par le client.
(5) Datargo développe Datargo Monitor de manière continue. Datargo est en droit d’adapter, de remplacer ou de faire évoluer des fonctions, types de vérification, procédures d’évaluation et interfaces, dans la mesure où l’étendue des prestations contractuellement dues n’en est pas substantiellement réduite et où les intérêts légitimes du client sont préservés. Datargo annoncera, sous forme de texte et dans un délai raisonnable, les modifications substantielles défavorables au client.
4. Outil d’assistance sans garantie de résultat ni d’exhaustivité
(1) Datargo Monitor est un outil automatisé destiné à assister le client. Est due l’exécution diligente des vérifications convenues selon l’état de la technique, mais non un résultat déterminé de détection, de notification ou autre.
(2) Datargo ne garantit pas que l’ensemble des incidents, perturbations ou événements soient détectés, évalués ou notifiés de manière complète, exacte ou en temps utile. Les événements non détectés (false negative), les notifications tardives ainsi que les notifications inexactes et les fausses alertes (false positive) sont inhérents au système et ne peuvent être totalement exclus, même en cas d’exploitation diligente. Ils dépendent notamment de la configuration effectuée par le client, des caractéristiques des systèmes surveillés, des seuils choisis et de circonstances échappant à la sphère d’influence de Datargo.
(3) Les prétentions fondées sur de tels événements sont exclues dans la mesure où Datargo a respecté la diligence due. La responsabilité conformément à la clause de responsabilité des conditions générales, en particulier pour dol, faute lourde, violation d’obligations contractuelles essentielles, ainsi que pour les dommages résultant d’une atteinte à la vie, à l’intégrité physique ou à la santé, d’une garantie assumée et au titre de la loi sur la responsabilité du fait des produits (ProdHaftG), demeure inchangée.
5. Acheminement des alarmes via des canaux tiers
(1) L’acheminement des alarmes et notifications s’effectue en partie par l’intermédiaire de services de tiers, en particulier par des fournisseurs de SMS et d’appels vocaux (opérateurs de réseaux de téléphonie mobile et fixe), des services de notification push ainsi que par la messagerie électronique. Datargo n’a aucune influence sur la disponibilité, la rapidité et l’acheminement effectif de ces canaux tiers.
(2) Datargo n’est pas responsable des acheminements tardifs, manquants, multiples ou erronés qui reposent sur des circonstances relevant de la sphère de tiers ou du client, en particulier sur des problèmes de réseau, d’appareil ou de configuration, sur une surcharge ou une défaillance d’un canal tiers, sur des filtres anti-spam, de blocage ou « ne pas déranger », sur des restrictions d’itinérance (roaming) ou d’acheminement de certains opérateurs de réseau, ou sur des coordonnées de contact inexactes, incomplètes ou obsolètes.
(3) Le client est tenu :
a) de mettre en place et de maintenir plusieurs canaux de notification indépendants les uns des autres, de sorte que la défaillance d’un seul canal n’entraîne pas l’absence de notification ;
b) d’enregistrer une chaîne d’escalade comportant plusieurs destinataires et des règles de suppléance ;
c) de tenir à jour les coordonnées de contact et les canaux enregistrés et de les tester régulièrement, au minimum à des intervalles raisonnables qu’il lui appartient de définir, au moyen d’alarmes d’essai.
(4) Si le client omet les mesures prévues à l’alinéa 3, cela peut être pris en compte au titre de la faute concomitante (§ 254 BGB) dans l’appréciation d’une éventuelle prétention en dommages et intérêts.
(5) Les dommages consécutifs résultant d’une défaillance non détectée, d’une fausse alerte ou de l’absence ou du retard d’une alarme sont indemnisés exclusivement selon la clause de responsabilité des conditions générales. En cas de négligence simple en dehors d’obligations contractuelles essentielles, la responsabilité est exclue. La responsabilité illimitée pour dol et faute lourde, pour les dommages résultant d’une atteinte à la vie, à l’intégrité physique ou à la santé, d’une garantie assumée ainsi qu’au titre de la loi sur la responsabilité du fait des produits (ProdHaftG) demeure inchangée.
6. Responsabilité propre du client pour l’exploitation et la réponse aux incidents
(1) L’utilisation de Datargo Monitor ne remplace pas l’exploitation sous la responsabilité propre des systèmes du client. Le client demeure seul responsable de l’exploitation, de la sécurité, de la sauvegarde des données, de la redondance, de la planification d’urgence, de la réaction aux incidents (réponse aux incidents) ainsi que de la restauration de ses systèmes.
(2) Datargo Monitor ne fournit aucune prestation de réaction, d’intervention ou de restauration sur les systèmes surveillés. L’appréciation d’une alarme, le déclenchement de mesures correctives et la résolution des perturbations incombent au seul client, sauf accord individuel distinct conclu à ce sujet.
(3) Si le client ne réagit pas à une alarme, y réagit trop tard ou de manière insuffisante, ou s’il ne dispose pas de ses propres mesures de protection, de réaction et de restauration, un dommage qui en résulte ou s’en trouve aggravé n’est pas imputable à Datargo. Une faute concomitante du client est prise en compte.
(4) Le client s’assure qu’il est habilité à surveiller les cibles de vérification concernées et que l’exécution des vérifications par Datargo ne porte atteinte à aucun droit de tiers. Le client surveille exclusivement ses propres systèmes ou des systèmes pour la surveillance desquels il dispose des autorisations nécessaires.
7. Confirmation multirégionale et quorum
(1) La confirmation multirégionale des événements par un quorum de plusieurs régions de vérification sert à réduire les fausses alertes. Elle ne constitue aucune assurance d’un taux déterminé de détection, d’exactitude ou de disponibilité des systèmes surveillés.
(2) Datargo est en droit d’adapter le nombre, l’emplacement et la composition des régions de vérification ainsi que les procédures de confirmation multirégionale, dans la mesure où cela est nécessaire pour des raisons opérationnelles, techniques ou juridiques et où les intérêts légitimes du client sont préservés. Un nombre minimal de régions de vérification n’est dû que dans la mesure où il est expressément promis dans le tarif ou dans un accord individuel.
8. Données des systèmes surveillés, conservation et rapports
(1) Dans le cadre des vérifications, Datargo traite les données nécessaires à leur exécution, en particulier les données de configuration des vérifications, les données de mesure et de résultat, les historiques de statut, les journaux d’événements et d’alarmes ainsi que les données de réponse renvoyées par la cible de vérification, dans la mesure nécessaire à l’évaluation.
(2) Dans la mesure où des données à caractère personnel sont traitées au moyen de Datargo Monitor, le traitement est régi par le contrat de sous-traitance (AVV) . Le client s’assure que les vérifications et cibles de vérification qu’il configure ne collectent pas de données à caractère personnel sans nécessité, et oriente sa configuration selon le principe de minimisation des données.
(3) Datargo conserve les données de mesure, d’événement et de journalisation pendant la durée de conservation décrite dans le tarif concerné et met à la disposition du client, pendant la durée du contrat, des informations de statut, un historique des incidents et des rapports. La durée de conservation standard des données de mesure et d’événement est de 13 mois par tarif ; une conservation prolongée pour les clients Enterprise et réglementés est à convenir séparément.
(4) Les rapports et historiques d’incidents sont établis au mieux des connaissances sur la base des données de mesure collectées. Ils documentent les vérifications effectuées et les événements constatés, mais ne constituent aucune assurance, au-delà de l’article 4, quant à l’exhaustivité ou à l’exactitude de la détection sous-jacente.
(5) Sur demande, Datargo met à la disposition du client les données de mesure, d’événement et de rapport le concernant dans un format courant, lisible par machine. Les modalités de restitution à la fin du contrat sont régies par l’article 12.
9. Sécurité, sous-traitants ultérieurs et droits d’audit
(1) Datargo exploite Datargo Monitor dans des centres de données situés dans l’UE, à Francfort-sur-le-Main, et maintient des mesures techniques et organisationnelles appropriées selon l’état de la technique.
(2) Datargo est en droit de recourir, pour la fourniture de Datargo Monitor, à des sous-traitants ultérieurs et à des prestataires tiers, en particulier pour la mise à disposition de régions de vérification et pour l’acheminement des alarmes via des canaux tiers. Datargo les sélectionne avec soin et les engage à respecter un niveau de protection approprié. Le registre actuel des sous-traitants ultérieurs et des fournisseurs de canaux tiers employés (en particulier les fournisseurs de courrier électronique, de SMS et d’appels vocaux ainsi que les fournisseurs des régions de vérification), avec siège et lieu de traitement, ressort de la liste des sous-traitants ; dans la mesure où des données à caractère personnel sont traitées dans ce cadre, elle fait partie de l’AVV . Les régions de vérification et les nœuds de contrôle sont en partie exploités par des prestataires tiers dans le monde entier ; à ces endroits, seules des données brutes non personnelles des vérifications de serveurs sont traitées, à l’exclusion de toute donnée à caractère personnel des clients.
(3) Dans la mesure où le client est soumis à une supervision réglementaire, Datargo accorde au client, à un auditeur mandaté par lui ainsi qu’à l’autorité de surveillance compétente les droits d’information, d’accès, de consultation et d’audit requis par le droit applicable à l’égard des prestations fournies pour Datargo Monitor. Datargo participe à des audits raisonnables. L’étendue, le déroulement, les délais de préavis, la confidentialité et la prise en charge des coûts sont régis par l’avenant DORA pour les clients financiers ou par un accord individuel. En dehors des exigences réglementaires, Datargo met à disposition des justificatifs appropriés (par exemple certificats et rapports d’audit à jour) ; les audits sur site nécessitent un accord distinct.
10. Assistance pour NIS-2 et DORA sans assurance de conformité
(1) Datargo Monitor peut assister le client dans le respect et la démonstration d’exigences réglementaires, en particulier en lien avec la directive NIS-2 et sa transposition nationale, le règlement (UE) 2022/2554 (DORA) ainsi que les normes de la série ISO/IEC 27000, par exemple au moyen de la surveillance de statut, de rapports et d’un historique des incidents.
(2) La responsabilité du respect de ces exigences incombe au seul client et ne peut, sur le plan réglementaire, être transférée à Datargo. Datargo n’assure pas que l’utilisation de Datargo Monitor satisfasse, à elle seule, aux exigences réglementaires concernées.
(3) Dans la mesure où Datargo intervient, au titre de DORA, en tant que prestataire tiers de technologies de l’information et de la communication pour des clients réglementés, les dispositions de l’avenant DORA pour les clients financiers s’appliquent à titre complémentaire. Celui-ci régit en particulier la description des prestations et les niveaux de service pour les fonctions critiques ou importantes, les lieux de fourniture des prestations et de traitement des données, la sous-traitance ultérieure, l’assistance en cas d’incident, la participation aux tests de résilience, les droits d’information, d’accès et d’audit ainsi que les droits de résiliation et de sortie.
11. Distinction entre le service et les systèmes surveillés, crédits de service
(1) La disponibilité convenue dans le Service Level Agreement concerne exclusivement la disponibilité de Datargo Monitor lui-même, mais non la disponibilité, la sécurité ou la fonctionnalité des systèmes surveillés par le client. Datargo ne doit pas la disponibilité des systèmes surveillés.
(2) Est notamment exclu de la disponibilité promise de la plateforme l’acheminement des alarmes via des canaux tiers (l’article 5). Les autres exclusions du calcul de la disponibilité résultent du Service Level Agreement.
(3) En cas de non-atteinte de la disponibilité promise de la plateforme, les crédits de service (Service Credits) prévus dans le Service Level Agreement constituent le recours définitif du client en raison de la seule non-atteinte de disponibilité. Les prétentions plus étendues à des dommages et intérêts ou à une réduction du prix en raison de la simple non-atteinte de disponibilité sont exclues à cet égard.
(4) Demeure inchangée, nonobstant l’alinéa 3, la responsabilité impérative, en particulier pour dol, faute lourde, violation d’obligations contractuelles essentielles, dommages résultant d’une atteinte à la vie, à l’intégrité physique ou à la santé, prétentions au titre d’une garantie assumée ainsi qu’au titre de la loi sur la responsabilité du fait des produits (ProdHaftG). En cas de non-atteinte significative et répétée de la disponibilité promise, le client dispose d’un droit de résiliation extraordinaire conformément aux conditions générales et au Service Level Agreement.
12. Restitution et suppression des données à la fin du contrat
(1) Après la fin du contrat relatif à Datargo Monitor, Datargo met à la disposition du client, sur demande de celui-ci, les données de mesure, d’événement et de rapport le concernant, dans un délai raisonnable et dans un format courant, lisible par machine, en vue de leur restitution ou de leur exportation. Le client est tenu de déclencher l’exportation en temps utile avant la fin du contrat.
(2) À l’expiration d’un délai de transition raisonnable suivant la fin du contrat, Datargo supprime les données du client, dans la mesure où aucune obligation légale de conservation ne s’y oppose. Le délai de transition et de mise à disposition pour l’exportation des données après la fin du contrat est de 30 jours ; pour les clients Enterprise et réglementés, un délai prolongé peut être convenu séparément. Les modalités de suppression des données à caractère personnel sont régies par le contrat de sous-traitance (AVV) .
(3) Pour les clients réglementés, les dispositions de sortie et de transition de l’avenant DORA pour les clients financiers s’appliquent à titre complémentaire.
13. Responsabilité
La responsabilité de Datargo est régie de manière exhaustive par l’article 9 des conditions générales et par les dispositions spécifiques au module qui précèdent. La responsabilité illimitée pour dol et faute lourde, pour les dommages résultant d’une atteinte à la vie, à l’intégrité physique ou à la santé, d’une garantie assumée ainsi qu’au titre de la loi sur la responsabilité du fait des produits (ProdHaftG) demeure inchangée par l’ensemble des limitations et exclusions qui précèdent.
Version linguistique faisant foi
Le présent document est fourni en allemand, en anglais et en français. Les versions anglaise et française sont des traductions fournies uniquement à des fins de commodité. La version allemande fait foi et est seule contraignante en cas de litige ou de divergence d’interprétation ou de traduction.