Conditions générales de vente et d’utilisation

Date de dernière mise à jour : 26/02/2019

ARTICLE 1 – DISPOSITIONS GENERALES

Le présent site destiné à la proposition d’offres de solutions documentaires et contenus numériques associés de Réseau Canopé, est édité par Réseau Canopé, établissement public national à caractère administratif sous tutelle du Ministère de l’Éducation nationale.

Numéro SIRET : 180 043 010 01485
Siège social :
Avenue du Futuroscope
Téléport 1 – Bâtiment @4
CS 80158
86961 FUTUROSCOPE CEDEX

Il est précisé que toute correspondance doit être adressée à la Direction territoriale académie de Bordeaux, Limoges et Poitiers de Réseau Canopé dont les coordonnées sont :

Réseau Canopé
Direction territoriale académie de Bordeaux, Limoges et Poitiers
Pôle national de compétences Solutions documentaires
6 rue Sainte Catherine, 86034 POITIERS Cedex

Téléphone : + 33 (0) 5 49 60 67 86
Télécopie : + 33 (0) 5 49 60 67 86
Courriel : solutionsdocumentaires@reseau-canope.fr

Les produits et services proposés sur le présent site sont principalement réservés aux établissements d’enseignement scolaire mais aussi à toute personne physique ou morale intéressée.

Le fait de passer commande implique l’adhésion pleine et entière de l’Acquéreur aux présentes conditions générales de vente et d’utilisation, y compris le contrat d’hébergement de e-sidoc et de BCDI annexés aux présentes qui en sont indissociables. L’Acquéreur déclare avoir pris connaissance des présentes conditions générales de vente et d’utilisation avant toute commande. L’acceptation des présentes engage au respect des obligations tirées du Code de la propriété intellectuelle.

Les présentes conditions générales de vente et d’utilisation pourront être modifiées par Réseau Canopé à tout moment et sans préavis. Les conditions générales de vente et d’utilisation modifiées entreront en vigueur à compter de leur mise en ligne et s’appliqueront dès lors de plein droit.

L’Acquéreur est invité à consulter régulièrement le site pour se tenir au courant des évolutions conditions générales de vente et d’utilisation.

 

ARTICLE 2 – CONDITIONS D’ACCES

2.1. Toute personne souhaitant passer commande est tenue de créer un compte en ligne sur le présent site en fournissant notamment son adresse courriel.

Le compte créé sera accessible à l’aide d’un identifiant (constitué par son « numéro de Client ») et d’un mot de passe. Ce compte permettra l’accès aux services et produits acquis par l’Acquéreur.

L’identifiant et le mot de passe sont propres à l’Acquéreur qui s’engage à ne pas les divulguer.

L’Acquéreur est responsable de la gestion, de la conservation et de l’utilisation de ses identifiants. Il lui appartient de mettre en œuvre toutes les mesures de précaution nécessaires à leur protection et à leur conservation.

L’Acquéreur s’engage à informer Réseau Canopé de toute utilisation frauduleuse de ses identifiants dès qu’il en a connaissance.

Toute tentative d’usurpation des identifiants d’un autre Acquéreur est strictement interdite.

2.2. L’Acquéreur déclare et certifie exactes les données qu’il a renseignées dans son compte client, notamment celles relatives aux effectifs de son établissement. L’Acquéreur s’engage à les tenir à jour.

 

ARTICLE 3 – OFFRES

Réseau Canopé propose une solution complète pour accompagner les établissements d’enseignement scolaire ou assimilés dans leurs missions, tant pour la gestion de leur fonds documentaire que pour la valorisation de leur politique documentaire auprès de chaque élève et chaque membre de la communauté éducative.

L’Acquéreur peut accéder au catalogue des produits et services documentaires proposés par Réseau Canopé et vérifier son éligibilité (http://www.reseau-canope.fr/solutions-documentaires).

 

ARTICLE 4 – COMMANDE

4.1. Passation de la commande

L’Acquéreur est tenu de passer commande sur Internet en s’identifiant sur le présent site.

L’Acquéreur reconnaît avoir, préalablement à la passation de commande, pris connaissance des présentes conditions générales de vente et d’utilisation. Il reconnaît, en outre, avoir la capacité juridique de conclure le présent contrat.
Un récapitulatif des informations contractuelles et des conditions générales de vente et d’utilisation sera communiqué à l’Acquéreur via l’e-mail de confirmation de sa commande.

Toute commande validée par l’Acquéreur en ligne en cliquant sur l’icône « Valider » constitue une acceptation irrévocable qui ne peut être remise en cause.

4.2. Activation de la commande

Le service est activé dès validation de la commande, excepté le cas des établissements français à l’étranger. L’Acquéreur reçoit un courriel à cette fin.

Lorsque le service ou le produit acquis nécessite l’envoi d’un support pour l’installation d’un logiciel (cas de BCDI), ce support est envoyé à l’Acquéreur dans un délai maximum de 3 jours ouvrés.

 

ARTICLE 5 – PRIX ET MODE DE PAIEMENT

Sauf exception, les solutions documentaires sont proposées par Réseau Canopé sur abonnement courant sur une année civile, du 1er janvier au 31 décembre. Les abonnements ne font pas l’objet d’une reconduction tacite.

Le prix des abonnements est fonction de la taille de l’établissement acquéreur. Les prix ne sont pas proratisés en fonction de la date de souscription de l’abonnement.

Les tarifs des abonnements sont consultables ici :
http://www.reseau-canope.fr/solutions-documentaires

La totalité du prix est à acquitter à la commande, sauf disposition contraire négociée avec Réseau Canopé :

– soit par chèque bancaire émis en euros, à l’ordre de l’Agent comptable de Réseau Canopé et adressé à : 

Réseau Canopé
Agence comptable
Téléport 1, Bâtiment @4
CS 80158
86 961 Futuroscope Cedex

En cas de paiement par chèque par les établissements à l’étranger, la commande ne sera traitée qu’à réception de ce dernier et les délais partiront de ce moment-là.

– soit par virement bancaire

IBAN de Réseau Canopé : FR76 1007 1860 0000 0010 0300 971 BIC : TRPUFRP1

– soit par mandat administratif (il est précisé que ce mode de paiement est réservé aux gestionnaires d’établissement scolaires uniquement).

Les prix sont indiqués en euros et sont nets de taxes sur la valeur ajoutée, Réseau Canopé n’étant pas assujetti à la TVA comme fournisseur.

L’Acquéreur garantit Réseau Canopé qu’il dispose des autorisations éventuellement nécessaires pour utiliser le mode de paiement choisi par lui lors de la validation de la commande.

En cas de commande par les établissements français à l’étranger, les produits ou services ne sont mis à disposition qu’après réception du paiement par Réseau Canopé.

 

ARTICLE 6 – Assistance – SERVICE CLIENTELE

Sans préjudice des dispositions prévues à l’article 9 ci-dessous, une équipe d’assistance est quotidiennement au service de l’Acquéreur pour l’accompagner, le conseiller, et pour répondre à ses questions commerciales, fonctionnelles et techniques.

Réseau Canopé conseille et assiste l’Acquéreur lors de la prise en main et l’appropriation de l’environnement de ses outils.

Pour toute question commerciale, l’Acquéreur peut contacter Réseau Canopé :

–        en ligne en saisissant son message ici : http://documentation.solutionsdoc.net/contactez-nous/

–        par courriel : solutionsdocumentaires@reseau-canope.fr ;

–        par téléphone au 05 49 60 67 68 ;

–        par courrier :

Canopé – Solutions documentaires
Département Valorisation et accompagnement
6 rue Sainte-Catherine
86034 Poitiers cedex.

Pour toute question fonctionnelle ou technique, l’Acquéreur peut contacter Réseau Canopé :

–        en ligne depuis le compte client ;

–        par téléphone au 05 49 60 67 99 ;

–        par courrier :

Canopé – Solutions documentaires
Service support
6 rue Sainte-Catherine
86034 Poitiers cedex.

 

ARTICLE 7 – Droits d’utilisation

Les solutions documentaires et contenus numériques proposés sur le présent site par Réseau Canopé peuvent être utilisés par l’Acquéreur dans un cadre scolaire, dans l’enceinte de l’établissement acquéreur, ou à distance par les usagers (enseignants, élèves, personnels, parents d’élèves, etc.) de l’Acquéreur selon les autorisations octroyées par ce dernier. En aucun cas, ces solutions documentaires et contenus numériques ne peuvent être utilisés ou exploités à des fins commerciales.

7.1. Utilisations autorisées

L’Acquéreur s’engage à utiliser les services documentaires exclusivement pour les besoins propres à l’établissement et ceux de ses usagers et à maintenir les mentions de droits de propriété et de crédit se rapportant aux droits de Réseau Canopé et/ou de ses partenaires, indiqués sur les produits et services.

7.2. Utilisations interdites

L’Acquéreur n’est pas autorisé à :

– utiliser les notices documentaires dans le but de créer une nouvelle base documentaire sans rapport avec son propre fonds ;

– permettre le téléchargement gratuit ou à titre onéreux des services associés (Mémofiches, Mémodocnet, Mémoelectre,etc.) autres que pour les propres besoins de l’établissement ;

– utiliser les notices documentaires dans une forme qui pourrait porter préjudice aux droits et à l’image de Réseau Canopé ;

L’Acquéreur s’interdit, en outre, tout usage des produits et services à des fins autres que celles définies aux présentes ; de même il s’interdit de publier, diffuser, louer ou vendre de quelque manière que ce soit, les contenus auxquels il accède.

 

ARTICLE 8 – PROPRIETE INTELLECTUELLE

Les solutions et ressources proposées sur le présent site par Réseau Canopé constituent des contenus protégés par la législation française et internationale relative à la propriété intellectuelle. Les éléments de fond protégeables tels que les textes, les photographies, les données, les graphiques, les vidéos, les images, etc., ainsi que les éléments de forme (choix, plan, disposition des matières, organisation des données…) sont la propriété de Réseau Canopé ou de Réseau Canopé et son partenaire, ou du partenaire de Réseau Canopé, au titre du droit d’auteur et au titre du droit du producteur de base de données.

En vertu de cette propriété, Réseau Canopé et/ou ses partenaires peu(ven)t exploiter ces différents éléments, pour le monde entier.

Dès lors, toute reproduction ou représentation, partielle ou totale, toute exploitation, sur quelque support que ce soit de ces solutions documentaires et contenus numériques, ne peut être faite sans le consentement préalable de Réseau Canopé en application des dispositions du Code de la propriété intellectuelle.

Le portail e-sidoc permet l’accès à des contenus numériques diversifiés. Lorsque Réseau Canopé est titulaire des droits sur ces contenus, il accorde le bénéfice de leur utilisation à l’Acquéreur selon les conditions prévues aux présentes.

E-sidoc permet également l’accès à des contenus numériques du choix de l’Acquéreur, dont les droits n’appartiennent pas à Réseau Canopé. Dans ce cas, l’accès par l’Acquéreur à ces ressources dépend des droits qu’il a lui-même acquis auprès de l’éditeur de ces contenus, le rôle de Réseau Canopé étant alors limité à celui d’un simple fournisseur d’interface d’accès. Ces contenus sont alors utilisés selon les droits accordés par les éditeurs concernés.

 

ARTICLE 9 – RESPONSABILITES

9.1. Responsabilités de l’Acquéreur

Il est précisé que l’Acquéreur est responsable des utilisations faites par lui-même ou ses usagers des services ou produits acquis auprès de Réseau Canopé. Il en va ainsi notamment des contenus ou données publiés par les personnels de l’Acquéreur ou des informations ou avis publiés par ses usagers (élèves, enseignants, etc.) sur le  portail e-sidoc.

A cet égard, l’attribution et l’utilisation des identifiants (nom d’utilisateur et mot de passe) à chaque usager incombe à l’Acquéreur. L’utilisation faite par les usagers de ces identifiants relève de la responsabilité de l’Acquéreur.

9.2. Responsabilités de Réseau Canopé

Réseau Canopé s’engage à tout mettre en œuvre pour assurer la continuité des services qu’il propose. Néanmoins, du fait de la nature particulière du réseau Internet ou des moyens de télécommunication, l’accès aux services proposés par Réseau Canopé peut être interrompu ou restreint à tout moment par une cause étrangère à Réseau Canopé. Dans ce cas, la responsabilité de Réseau Canopé ne pourra être recherchée.

L’intégration des solutions documentaires et contenus numériques est à la charge de l’Acquéreur. Elle est mise en œuvre sous la seule responsabilité de l’Acquéreur. Réseau Canopé ne saurait voir sa responsabilité engagée en cas de difficultés d’intégration et/ou de dommages subis par l’Acquéreur et résultant directement ou indirectement de l’intégration, de la mauvaise intégration, de l’utilisation des solutions documentaires et contenus numériques, ou de l’inadaptation de ses infrastructures ou équipements informatiques.

La responsabilité de Réseau Canopé ne saurait non plus être engagée en cas d’interruption d’accès au présent site et aux services proposés par Réseau Canopé du fait d’opérations de maintenance, de mise à jour ou d’améliorations techniques, ou pour en faire évoluer le contenu et/ou la présentation, dès lors que ces interruptions sont signalées et qu’elles n’excèdent pas les usages en la matière.

Dans toute la mesure permise par la loi applicable, la responsabilité de Réseau Canopé sera limitée aux dommages certains, réels et établis. Dans toute la mesure permise par la loi, en aucun cas Réseau Canopé et ses équipes ne pourront être tenus responsables des dommages indirects, du manque à gagner ou des dommages découlant de la perte de données ou de la perte d’exploitation causée par l’utilisation ou l’impossibilité d’utiliser les produits et services acquis, sauf en cas de faute lourde de Réseau Canopé.

 

ARTICLE 10 – HEBERGEMENT DU PORTAIL D’ACCES E-SIDOC

Les conditions d’utilisation de l’hébergement du portail d’accès e-sidoc sont définies en annexe 1 des présentes conditions générales de vente et d’utilisation, dont elles font partie intégrante.

 

ARTICLE 11 – RECUPERATION – MIGRATION DE DONNEES – FUSION DE PORTAILS

11.1. Récupération de données

Au terme du contrat, l’Acquéreur peut solliciter Réseau Canopé pour la récupération des articles, actualités, sitothèques qu’il a publiés. La demande de récupération de données n’est recevable que si elle est formulée par la personne morale ayant acquis la solution documentaire.

Les données sont exportées sous format « .csv » et mis à disposition de l’Acquéreur, à qui il revient de les traiter.

11.2. Migration de données catalogue

A la demande de l’Acquéreur lors d’un abonnement à une solution documentaire nouvellement acquis, Réseau Canopé peut effectuer la récupération des notices bibliographiques, de données d’exemplaires bibliographiques et des données d’emprunteurs d’un catalogue appartenant à l’Acquéreur. Réseau Canopé prend en charge la migration des données sous réserve qu’il ait accès à ces données et que celles-ci soient compatibles avec ses éditions.

11.3. Fusion de portails

En cas de fusion administrative de plusieurs établissements, Réseau Canopé peut prendre en charge, à la demande de l’Acquéreur, la fusion des portails e-sidoc. L’opération menée par Réseau Canopé est strictement limitée à la fusion des portails ; elle ne s’étend pas à la fusion des catalogues.

11.4. Transfert de données

En cas de transfert de portail e-sidoc, Réseau Canopé peut prendre en charge, à la demande de l’Acquéreur, le transfert de données d’un portail e-sidoc vers un autre portail e-sidoc. L’opération menée par Réseau Canopé est strictement limitée aux articles, actualités, galeries d’images, sitothèques, aux données de sélection et de description documentaires incluses dans l’abonnement à la solution documentaire, aux notices Mémofiches, Mémodocnet et à des ressources numériques payantes  sous réserve que l’établissement soit abonné à ces services.

 

ARTICLE 12 – CONFIDENTIALITE ET DONNEES A CARACTERE PERSONNEL

12.1.

Les informations qui sont demandées à l’Acquéreur sont nécessaires au traitement de sa commande.

Réseau Canopé s’engage à respecter les dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que les dispositions de la loi du 6 janvier 1978 relative à  l’informatique, aux fichiers et aux libertés.

Au moment de la commande, l’Acquéreur est informé de la politique de confidentialité de Réseau Canopé pour le traitement de ses données à caractère personnel. Elle est consultable en cliquant sur ce lien.

12.2.

Réseau s’engage à garder confidentielles toutes les informations de quelque nature qu’elles soient, concernant l’activité de l’Acquéreur, et dont il aurait eu connaissance à l’occasion de l’exécution du présent contrat. Réseau Canopé prendra toutes dispositions requises auprès de son personnel afin de conserver auxdites informations leur caractère confidentiel.

Réseau Canopé s’engage à prendre toutes précautions utiles afin de préserver la sécurité des données, notamment d’empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisées y aient accès.

12.3.

Les conditions dans lesquelles l’Acquéreur confie à Réseau Canopé la sous-traitance de données à caractère personnel, dans le cadre de l’abonnement aux solutions documentaires éditées par Réseau Canopé – Solutions documentaires, sont définies en annexes 1 et 2 des présentes conditions générales de vente et d’utilisation dont elles font partie intégrante.

ARTICLE 13 – HEBERGEMENT DE BCDI

L’Acquéreur peut choisir d’installer BCDI par ses propres moyens ou d’héberger ses données sur la plateforme nationale d’hébergement de Réseau Canopé.

Pour bénéficier du service d’hébergement proposé par Réseau Canopé, l’Acquéreur doit souscrire un abonnement annuel à la solution documentaire 100% hébergée éditée par Réseau Canopé (abonnements SOLDOC+).

Ce service peut également être acquis à tout moment par l’Acquéreur en cours de contrat, par la souscription d’un abonnement supplémentaire spécifique.

Les conditions d’utilisation du service d’hébergement sont définies en annexe 2 des présentes conditions générales de vente et d’utilisation, dont elles font partie intégrante.

ARTICLE 14 – INTÉGRALITÉ DES CONDITIONS GENERALES

Les présentes conditions générales expriment l’intégralité des obligations des parties. Aucune condition générale ou spécifique communiquée par l’Acquéreur ne pourra s’intégrer aux présentes conditions générales.

Le fait pour Réseau Canopé de ne pas se prévaloir d’un manquement par l’Acquéreur à l’une quelconque des obligations visées aux présentes, ne saurait être interprété pour l’avenir comme une renonciation à l’obligation en cause.

 

ARTICLE 15 – LOI APPLICABLE ET JURIDICTION COMPETENTE

Les présentes conditions générales de vente sont soumises à la loi française. Il en est ainsi tant pour les règles de fond que pour les règles de forme.

En cas de litige, seul le tribunal administratif de Poitiers sera compétent.

 

ANNEXE 1 : CONDITIONS D’HEBERGEMENT E-SIDOC

 

ARTICLE 1 – OBJET

En vertu des conditions générales de vente et d’utilisation, l’Acquéreur dispose dans son abonnement annuel e-sidoc de l’hébergement proposé par Réseau Canopé par le biais d’une plateforme nationale d’hébergement.

Le présent contrat vise à définir les conditions d’utilisation de la plateforme d’hébergement proposée par Réseau Canopé. L’Acquéreur reconnaît avoir vérifié l’adéquation de l’hébergement à ses besoins et avoir effectué ce choix en toute connaissance de cause, après avoir reçu toutes les informations et conseils nécessaires.

 

ARTICLE 2 – ADMINISTRATION DU SERVEUR

Réseau Canopé en qualité d’hébergeur administre seul la plateforme d’hébergement e-sidoc. A cette fin, il dispose du profil dit « super-utilisateur » d’e-sidoc, qui lui est réservé.

Réseau Canopé s’engage à utiliser les droits étendus conférés par le profil super-utilisateur exclusivement dans l’intérêt du fonctionnement du service, ou pour réaliser une action d’administration, comme la mise à jour d’un mot de passe, à la demande de l’Acquéreur.

L’Acquéreur ne dispose que d’un accès administrateur pour lequel Réseau Canopé lui communique un identifiant et un mot de passe dédié. L’identifiant et le mot de passe sont propres à l’Acquéreur qui s’engage à ne pas les divulguer.

L’Acquéreur est responsable de la gestion, de la conservation et de l’utilisation de cet identifiant. Il lui appartient de mettre en œuvre toutes les mesures de précaution nécessaires à leur protection et à leur conservation.

L’Acquéreur s’engage à informer Réseau Canopé de toute utilisation frauduleuse de ses identifiants dès qu’il en a connaissance.

 

ARTICLE 3 – SECURITE DES SERVEURS ET DES LOCAUX

Réseau Canopé prend des précautions optimales pour assurer la protection matérielle des données que l’Acquéreur lui aura confiées, en particulier contre l’intrusion de tiers non autorisés, détournements, intrusion de virus, etc. Réseau Canopé est seul habilité à intervenir dans les opérations d’exploitation et de maintenance relatives au service.

Réseau Canopé se réserve le droit de mettre à jour ses versions logicielles en cas de faille de sécurité et moyennant l’information préalable de l’Acquéreur.

Toute perte de données ou rupture de service liée à ces opérations ne saurait engager la responsabilité de l’hébergeur.

En cas de non-respect répété des prescriptions de sécurité par l’Acquéreur, Réseau Canopé se réserve le droit de suspendre ou de résilier la fourniture du service aux torts de l’Acquéreur, sans qu’il puisse revendiquer une quelconque compensation ou dommages-intérêts ou remboursement.

 

ARTICLE 4 – SUSPENSION DU SERVICE

4.1. MAINTENANCE ET INTERRUPTION DU SERVICE

Réseau Canopé met en œuvre tous les moyens à sa disposition pour garantir la disponibilité et la qualité du service. Dans ce cadre, des maintenances régulières ont lieu sur le serveur.

Des opérations de maintenance susceptibles d’interrompre momentanément le service seront ainsi effectuées les mercredis après-midi les jours ouvrés.

Les opérations de maintenance lourde sont programmées, autant que possible, sur des jours non ouvrés ou des périodes de moindre activité comme les vacances scolaires. Réseau Canopé s’emploiera à informer préalablement l’Acquéreur.

Réseau Canopé se réserve la faculté de procéder, à titre exceptionnel, à des opérations de maintenance d’urgence pour les besoins de l’exécution des opérations techniques.

L’Acquéreur accepte de supporter, dans des limites raisonnables, les risques d’imperfection et d’indisponibilité de la plateforme d’hébergement 

4.2. RESILIATION DU SERVICE

Réseau Canopé pourra mettre fin à la fourniture du service à tout moment pour les raisons suivantes :

  • Si l’Acquéreur ne procède pas au paiement de sa commande. Dans ce premier cas, Réseau Canopé ne désactivera pas le service sans adresser au préalable à l’Acquéreur une relance lui demandant de s’acquitter du prix de sa commande.
  • Si l’Acquéreur ne renouvelle pas avant le 15 mars de chaque année son abonnement à la solution documentaire pour l’année civile en cours. Dans ce second cas, Réseau Canopé informera au préalable l’Acquéreur de la date à laquelle le service sera désactivé.

 

ARTICLE 5 – LIMITATION DE RESPONSABILITE

La responsabilité de Réseau Canopé ne saurait être engagée en cas d’interruption d’accès au présent site et aux services souscrits, du fait d’opérations de maintenance, de mise à jour ou d’améliorations techniques, ou pour en faire évoluer le contenu et/ou la présentation, dès lors que ces interruptions sont signalées et qu’elles n’excèdent pas les usages en la matière.

Dans toute la mesure permise par la loi applicable et dans la mesure où Réseau Canopé serait jugé responsable d’un dommage non prévu ci-dessus, la responsabilité de Réseau Canopé sera limitée aux dommages certains, réels et établis. Dans toute la mesure permise par la loi, en aucun cas Réseau Canopé et ses équipes ne pourront être tenus responsables des dommages indirects, du manque à gagner ou des dommages découlant de la perte de données ou de la perte d’exploitation causée par l’utilisation ou l’impossibilité d’utiliser les produits et services acquis, sauf en cas de faute lourde de Réseau Canopé.

La responsabilité de Réseau Canopé ne pourra être engagée que pour des faits établis qui lui seraient exclusivement imputables, ce qui exclut les cas de force majeure, notamment les dysfonctionnements liés aux moyens de communication ou télécommunication.

Au cas où la responsabilité de Réseau Canopé serait retenue, les parties conviennent expressément  que toutes sommes confondues, Réseau Canopé ne peut être tenu de payer un montant supérieur au prix de l’abonnement de la solution documentaire effectivement payé par l’Acquéreur dans le cadre du présent contrat.

 

ARTICLE 6 – TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

L’Acquéreur est seul responsable des données qu’il produit, collecte et/ou diffuse, des revendications des tiers ainsi que des actions pénales qu’elles entraîneraient. L’Acquéreur fait sien le respect de la législation applicable au traitement desdites données.

Les données hébergées, sauvegardées ou stockées par Réseau Canopé pour le compte de l’Acquéreur sont et demeurent la propriété de l’Acquéreur. L’Acquéreur est responsable des traitements de données à caractère personnel hébergées, sauvegardées ou stockées par Réseau Canopé pour son compte.

Les dispositions du présent article 6 définissent les conditions dans lesquelles Réseau Canopé en tant que sous-traitant s’engage à effectuer pour le compte de l’Acquéreur, responsable de traitement, les opérations de traitement de données à caractère personnel définies ci-après dans le cadre de l’abonnement annuel aux solutions documentaires qui comprend la mise à disposition et l’hébergement du portail e-sidoc.

Dans le cadre de leurs relations contractuelles, Réseau Canopé et l’Acquéreur s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

6.1. Description des traitements faisant l’objet de la sous-traitance dans le cadre du service de mise à disposition et d’hébergement du portail documentaire e-sidoc

L’abonnement annuel au portail documentaire e-sidoc édité par Réseau Canopé – Solutions Documentaires comprend la mise à disposition du portail documentaire e-sidoc.

Dans le cadre de ce contrat d’abonnement, le sous-traitant est autorisé à traiter pour le compte de l’Acquéreur, responsable de traitement, les données à caractère personnel nécessaires pour fournir le service suivant :

  • Mise à disposition et hébergement du portail e-sidoc, portail d’information et de recherche de contenus documentaires à destination des usagers du Centre de Documentation et d’Information d’un établissement scolaire
6.1.1. Nature des opérations réalisées sur les données traitées dans le cadre de la sous-traitance

Les opérations réalisées sur les données à caractère personnel traitées sont les suivantes :

  • sauvegarde et archivage des données ;
  • gestion des authentifications sur le portail e-sidoc et sur les plateformes des éditeurs de ressources, gratuites ou payantes, auxquelles l’établissement est abonné ;
  • échange des données avec le logiciel BCDI ;
  • récupération des données à partir des interfaces de l’ENT ou de Pronote.
6.1.2. Finalités des traitements de données à caractère personnel effectués par le sous-traitant dans le cadre de la sous-traitance

Les finalités de traitement sont les suivantes :

1- Assurer le bon fonctionnement du portail e-sidoc :

  • Gestion des fonctionnalités
  • Accès aux fonctionnalités ;
  • Hébergement, protection et sauvegarde des données.

2- Gérer le catalogue bibliographique du CDI

6.1.3. Nature des données à caractère personnel traitées dans le cadre de la sous-traitance

Les données à caractère personnel traitées dans le cadre de la sous-traitance sont les suivantes :

Catégories de données personnellesDonnées renseignées dans la catégorie

Catégorie « Etat civil, identité, données d’identification, image » 

  • Nom, prénom
  • Adresse
  • Date de naissance
  • Age
  • Mél
  • Téléphone
  • Numéro Identité emprunteur
  • Responsable légal de l’élève
  • Classe de l’élève
  • Statut de l’usager (élève ou enseignant) 
  • Login et mot de passe de l’usager (si le portail e-sidoc n’est pas interconnecté avec l’ENT ou le service PRONOTE de l’établissement)
  • Clé de rapprochement avec le compte utilisateur de l’ENT ou de PRONOTE (si le portail e-sidoc de l’établissement est interconnecté avec l’ENT ou le service PRONOTE de l’établissement)
  • Avis de lecture (pseudo, note, et commentaires et état de modération par le professeur documentaliste)
  • Liste des demandes de réservations en cours
  • Prêts en cours
  • Historique des prêts de moins de 4 mois conformément à la délibération n° 99-27 du 22 avril 1999 de la CNIL concernant les traitements automatisés d’informations nominatives relatifs à la gestion des prêts de livres, de supports audiovisuels et d’œuvres artistiques et à la gestion des consultations de documents d’archives publiques
Catégorie « Données de connexion (adresse IP, logs, etc.) »
  • Adresse IP
  • Identifiant de navigation HTTP : UserAgent
6.1.4. Catégories de personnes concernées par ces traitements

Les personnes concernées par ces traitements sont les suivantes :

Pour accéder à son espace personnalisé et aux ressources documentaires numériques auxquelles l’établissement est abonné

  • Les élèves de l’établissement
  • Les personnels enseignants et non enseignants de l’établissement

Pour l’exécution du service de mise à disposition et d’hébergement du portail documentaire e-sidoc, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes :

  • annuaire des emprunteurs comportant les données personnelles collectées par le responsable de traitement ;
  • catalogue du CDI.

6.2. Durée de la sous-traitance

Les présentes dispositions contractuelles relatives à la sous-traitance font partie intégrante des conditions générales de vente et d’utilisation acceptées par le responsable de traitement à l’occasion de la passation de commande. Elles entrent en vigueur à compter de l’acceptation des conditions générales de vente et d’utilisation par le responsable de traitement et sont valables pour la durée de l’abonnement souscrit par le responsable de traitement.

6.3. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage à :

  • traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
  • traiter les données conformément aux instructions documentées du responsable de traitement communiquées à  Réseau Canopé. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat, d’une part s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et d’autre part reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

6.4. Sous-traitance

6.4.1.

Le sous-traitant est autorisé à faire appel à la société DECALOG, société de services et d’ingénierie documentaire dont le siège social est sis 1244 rue Henri Dunant à Guilherand-Granges (07500), ci-après dénommée le « sous-traitant ultérieur »,  pour mener les activités de traitement suivantes :

  • infogérance logicielle de la plateforme d’hébergement des portails documentaires e-sidoc

Le sous-traitant est autorisé à faire appel à la société SynAAps, prestataire d’hébergement Cloud HADS certifié ISO 27001, dont le siège social est sis 49 avenue Albert Einstein à Villeurbanne (69603), ci-après dénommée le « sous-traitant ultérieur »,  pour mener les activités de traitement suivantes :

  • hébergement des portails documentaires e-sidoc

Le sous-traitant informe le responsable de traitement préalablement à tout recrutement d’un nouveau sous-traitant ultérieur ou tout changement de sous-traitant ultérieur. 

6.4.2.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

6.5. Droit d’information des personnes concernées

Il appartient au responsable de traitement de fournir, au moment de la collecte des données, aux personnes concernées par les opérations de traitement de leurs données à caractère personnel, l’information relative aux traitements de données qu’il réalise.

6.6. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées par la collecte et le traitement de leurs données à caractère personnel  : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au chef d’établissement responsable de traitement.

6.7. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 36 (trente-six) heures après en avoir pris connaissance et par courrier électronique, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Ce dernier doit effectuer cette notification dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

6.8. Conseil du sous-traitant dans le cadre su respect par le responsable de traitement de ses obligations

Le sous-traitant conseille le responsable de traitement, à la demande de ce dernier, pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant aide le responsable de traitement, à la demande de ce dernier, pour la réalisation de la consultation préalable de l’autorité de contrôle.

6.9. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

  • la pseudonymisation et le chiffrement des données à caractère personnel ;
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

6.10. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à renvoyer toutes les données à caractère personnel au responsable de traitement.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

6.11. Délégué à la protection des données

Le sous-traitant informe le responsable de traitement des coordonnées suivantes de son délégué à la protection des données : dpo@reseau-canope.fr

6.12. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

  1. le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  2. les catégories de traitements effectués pour le compte du responsable du traitement ;
  3. le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
  4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • la pseudonymisation et le chiffrement des données à caractère personnel ;
    • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

6.13. Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

6.14. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

  • fournir au sous-traitant les données visées à l’article 6.1 des présentes clauses ;
  • documenter par écrit toute instruction concernant le traitement des données par le sous-traitant ;
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ;
  • superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.

 

ANNEXE 2 : CONDITIONS D’HEBERGEMENT DE BCDI

 

ARTICLE 1 – OBJET

En vertu des conditions générales de vente et d’utilisation, l’Acquéreur peut choisir d’héberger BCDI en local sur un support de son choix, ou de souscrire le service d’hébergement proposé par Réseau Canopé par le biais d’une plateforme nationale d’hébergement.

Pour bénéficier du service d’hébergement, l’Acquéreur doit souscrire un abonnement annuel à la solution documentaire 100% hébergée éditée par Réseau Canopé (abonnements SOLDOC+). Ce service peut également être acquis à tout moment par l’Acquéreur en cours de contrat, par la souscription d’un abonnement supplémentaire spécifique.

Le présent contrat vise à définir les conditions d’utilisation de la plateforme d’hébergement proposée par Réseau Canopé. L’Acquéreur reconnaît avoir vérifié l’adéquation de l’hébergement à ses besoins et à son architecture technique locale, et avoir effectué ce choix en toute connaissance de cause, après avoir reçu toutes les informations et conseils nécessaires. En particulier, l’Acquéreur reconnaît être informé qu’une bande passante disponible et stable, d’un débit minimum de 10 Ko/seconde, est requise pour le bon fonctionnement du client BCDI installé en local.

 

ARTICLE 2 – MIGRATION VERS LA PLATEFORME D’HEBERGEMENT DE RESEAU CANOPE

2.1. Mise en œuvre de la migration

En cas de souscription du service d’hébergement, les données fournies par l’Acquéreur sont transférées vers la plateforme nationale d’hébergement et sont disponibles à l’ouverture du service, dans un délai minimum de 3 jours.

Il est précisé que les éléments de configuration personnelle ne sont pas reportés. Une nouvelle configuration est déployée pour l’Acquéreur. Cette configuration prévoit :

– la création d’un compte administrateur et d’un compte gestionnaire, avec un mot de passe personnalisé pour chacun de ses comptes ;

– le paramétrage des bases de données BCDI fournies initialement par l’Acquéreur.

Lors de l’ouverture du service d’hébergement, les informations suivantes sont fournies à l’Acquéreur :

– url d’accès ;

– port du service ;

– mots de passe administrateur et gestionnaire.

Un client BCDI pré-paramétré avec les informations d’url et de port est également mis à disposition à l’Acquéreur par voie de téléchargement.

Il incombe à l’Acquéreur de faire en sorte que le service soit accessible depuis son poste de travail. Il lui revient notamment, dans le cas où ses infrastructures se situent derrière un pare-feu, de vérifier qu’il dispose des autorisations nécessaires pour accéder à l’url et au port fournis.

2.2. Bases concernées par la migration

Les bases de données BCDI importées sont celles qui sont fournies par l’Acquéreur au moment de la création de son hébergement. Sauf recours exceptionnel et dûment justifié, il ne sera pas possible d’importer de nouvelles bases une fois le chargement initial validé et le service ouvert.

L’Acquéreur reste libre de créer sans limitation de nouvelles bases BCDI. Toutes les bases sont placées par défaut dans un répertoire de l’application nommé « Bases », et toute nouvelle base créée doit respecter cette contrainte.

 

ARTICLE 3 – ADMINISTRATION DE L’APPLICATION BCDI

Réseau Canopé en qualité d’hébergeur administre seul le serveur d’hébergement BCDI. A cette fin, il dispose du profil dit « super-utilisateur » de BCDI, qui lui est réservé.

Réseau Canopé s’engage à utiliser les droits étendus conférés par le profil super-utilisateur exclusivement dans l’intérêt du fonctionnement du service, ou pour réaliser une action d’administration, comme la mise à jour d’un mot de passe, à la demande de l’Acquéreur.

L’Acquéreur ne dispose que des accès administrateur et gestionnaire pour lesquels Réseau Canopé lui communique un identifiant et un mot de passe dédiés pour chaque compte. L’identifiant et le mot de passe sont propres à l’Acquéreur qui s’engage à ne pas les divulguer.

L’Acquéreur est responsable de la gestion, de la conservation et de l’utilisation de ses identifiants. Il lui appartient de mettre en œuvre toutes les mesures de précaution nécessaires à leur protection et à leur conservation.

L’Acquéreur s’engage à informer Réseau Canopé de toute utilisation frauduleuse de ses identifiants dès qu’il en a connaissance.

 

ARTICLE 4 – ESPACE DISQUE

L’hébergement fourni par Réseau Canopé est opéré par le biais d’un serveur mutualisé. L’espace disque alloué au serveur BCDI n’est pas limité par défaut. Cependant, le serveur étant mutualisé entre les différents Acquéreurs hébergés, Réseau Canopé pourra, après en avoir averti l’Acquéreur, prendre des mesures appropriées dans le cas où une consommation d’espace déraisonnable est susceptible d’entraver le service offert à l’ensemble des utilisateurs de la plateforme nationale d’hébergement.

 

ARTICLE 5 – SAUVEGARDE ET RESTAURATION DE DONNEES

Réseau Canopé s’engage à assurer la sauvegarde, la pérennité et la restauration des données hébergées.

Réseau Canopé est en capacité de restaurer les données des 5 derniers jours ouvrés. Réseau Canopé archive une sauvegarde par semaine et conserve les 4 sauvegardes hebdomadaires les plus récentes par rapport à la dernière modification de données dans les bases BCDI.

La sauvegarde personnelle depuis l’application BCDI est possible, mais ne pourra en aucun cas être restaurée sur la plateforme nationale d’hébergement de Réseau Canopé.

 

ARTICLE 6 – MISE A JOUR DES SERVEURS BCDI

Réseau Canopé prend en charge la mise à jour des serveurs BCDI et des connecteurs esidoc associés. L’Acquéreur ne peut pas décider de déclencher de mise à jour de son application de manière isolée.

Réseau Canopé s’engage à déployer soit la version en cours de commercialisation, soit une version postérieure à la version en cours de commercialisation.

 

ARTICLE 7 – SECURITE DES SERVEURS ET DES LOCAUX

Réseau Canopé prend des précautions optimales pour assurer la protection matérielle des données que l’Acquéreur lui aura confiées, en particulier contre l’intrusion de tiers non autorisés, détournements, intrusion de virus, etc. Réseau Canopé est seul habilité à intervenir dans les opérations d’exploitation et de maintenance relatives au service.

Réseau Canopé se réserve le droit de mettre à jour ses versions logicielles en cas de faille de sécurité et moyennant l’information préalable de l’Acquéreur.

Toute perte de données ou rupture de service liée à ces opérations ne saurait engager la responsabilité de Réseau Canopé.

En cas de non-respect répété des prescriptions de sécurité par l’Acquéreur, Réseau Canopé se réserve le droit de suspendre ou de résilier la fourniture du service aux torts de l’Acquéreur, sans qu’il puisse revendiquer une quelconque compensation ou dommages et intérêts ou remboursement.

 

ARTICLE 8 – MAINTENANCE – SUSPENSION DU SERVICE

Réseau Canopé met en œuvre tous les moyens à sa disposition pour garantir la disponibilité et la qualité du service. Dans ce cadre, des maintenances régulières ont lieu sur la plateforme nationale d’hébergement.

Les opérations de maintenance lourde sont programmées, autant que possible, sur les jours non ouvrés ou des périodes de moindre activité comme les vacances scolaires ou les mercredis après-midi. Réseau Canopé s’emploiera à informer préalablement l’Acquéreur.

Réseau Canopé se réserve le droit de procéder, à titre exceptionnel, à des opérations de maintenance d’urgence  pour les besoins de l’exécution des opérations techniques.

L’Acquéreur accepte de supporter, dans des limites raisonnables, les risques d’imperfection et d’indisponibilité du service d’hébergement.

 

ARTICLE 9 – REVERSIBILITE

L’Acquéreur peut renoncer au service d’hébergement, soit en ne se réabonnant pas à SOLDOC+ à la fin du contrat, soit en cours de contrat. En cas de renonciation en cours de contrat, le prix de l’abonnement souscrit par l’Acquéreur reste acquis à Réseau Canopé.

L’Acquéreur s’engage à informer Réseau Canopé de sa décision de renoncer au service d’hébergement :

  • par courriel : solutionsdocumentaires@reseau-canope.fr
  • par téléphone au 05 49 60 67 68
  • par courrier adressé à Canopé Solutions Documentaires – Département Valorisation et Accompagnement – 6, rue Sainte Catherine – 86034 Poitiers Cedex

En cas de renonciation au service d’hébergement, de rupture du présent contrat ou en cas de non renouvellement de l’abonnement à la solution documentaire, quelle qu’en soit la cause, le service sera désactivé. L’ensemble des fichiers constituant l’application BCDI de l’Acquéreur (programmes, bases, etc.) seront conservés et mis à sa disposition pour être téléchargés sous format compressé dans un délai maximal de 120 jours suivant la date d’effet de la résiliation du contrat d’hébergement.

Au-delà de ce délai, tout fichier hébergé contenant des données personnelles et appartenant à l’Acquéreur sera définitivement supprimé.

 

ARTICLE 10 – LIMITATION DE RESPONSABILITES

La responsabilité de Réseau Canopé ne pourra être engagée en cas d’interruption d’accès au présent site et aux services proposés par Réseau Canopé du fait d’opérations de maintenance, de mise à jour ou d’améliorations techniques, ou pour en faire évoluer le contenu et/ou la présentation, dès lors que ces interruptions sont signalées et qu’elles n’excèdent pas les usages en la matière.

Dans toute la mesure permise par la loi applicable et dans la mesure où Réseau Canopé serait jugé responsable d’un dommage non prévu ci-dessus, la responsabilité de Réseau Canopé sera limitée aux dommages certains, réels et établis. Dans toute la mesure permise par la loi, en aucun cas Réseau Canopé et ses équipes ne pourront être tenus responsables des dommages indirects, du manque à gagner ou des dommages découlant de la perte de données ou de la perte d’exploitation causée par l’utilisation ou l’impossibilité d’utiliser les produits et services acquis, sauf en cas de faute lourde de Réseau Canopé.

La responsabilité de Réseau Canopé ne pourra être engagée que pour des faits établis qui lui seraient exclusivement imputables, ce qui exclut les cas de force majeure, notamment les dysfonctionnements liés aux moyens de communication ou télécommunication.

Au cas où la responsabilité de Réseau Canopé serait retenue, les parties conviennent expressément  que toutes sommes confondues, Réseau Canopé ne peut être tenu de payer un montant supérieur au prix de l’abonnement à BCDI effectivement payé par l’Acquéreur dans le cadre du présent contrat.

 

ARTICLE 11 – TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

L’Acquéreur est seul responsable des données qu’il produit, collecte et/ou diffuse, des revendications des tiers ainsi que des actions pénales qu’elles entraîneraient. L’Acquéreur fait sien le respect de la législation applicable au traitement desdites données.

Les données hébergées, sauvegardées ou stockées par Réseau Canopé pour le compte de l’Acquéreur sont et demeurent la propriété de l’Acquéreur. L’Acquéreur est responsable des traitements de données à caractère personnel hébergées, sauvegardées ou stockées par Réseau Canopé pour son compte.

Les dispositions du présent article 11 définissent les conditions dans lesquelles Réseau Canopé en tant que sous-traitant s’engage à effectuer pour le compte de l’Acquéreur, responsable de traitement, les opérations de traitement de données à caractère personnel définies ci-après dans le cadre de l’abonnement annuel à l’hébergement des bases de données de l’application BCDI.

Dans le cadre de leurs relations contractuelles, Réseau Canopé et l’Acquéreur s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

11.1. Description des traitements faisant l’objet de la sous-traitance dans le cadre du service d’hébergement des bases de données BCDI

Dans le cadre de l’abonnement au service d’hébergement des bases de données BCDI, le sous-traitant est autorisé à traiter pour le compte de l’Acquéreur, responsable de traitement, les données à caractère personnel nécessaires pour fournir le service suivant :

  • Hébergement des bases de données de l’application BCDI, logiciel de gestion du fonds documentaire et de gestion des prêts de documents
11.1.1. Nature des opérations réalisées sur les données traitées dans le cadre de la sous-traitance

La nature des opérations réalisées sur les données à caractère personnel traitées est la suivante :

  • sauvegarde et archivage des données ;
  • gestion des authentifications ;
  • échange des données avec la solution logicielle e-sidoc ;
  • extraction de données (exclusivement dans le cas de la sortie de la plateforme d’hébergement).
11.1.2. Finalités des traitements de données à caractère personnel effectués par le sous-traitant dans le cadre de la sous-traitance

Les finalités de traitement sont la gestion de la circulation des documents, la gestion du catalogue et la gestion des emprunteurs

11.1.3. Nature des données à caractère personnel traitées dans le cadre de la sous-traitance

Les données à caractère personnel traitées dans le cadre de la sous-traitance sont les suivantes :

Catégories de données personnellesDonnées renseignées dans la catégorie

Catégorie « Etat civil, identité, données d’identification, image » 

  • Nom, prénom
  • Adresse
  • Date de naissance
  • Age
  • Mél
  • Téléphone
  • Numéro Identité emprunteur
  • Responsable légal de l’élève
  • Classe de l’élève
  • Statut de l’usager (élève ou enseignant) 
  • Login et mot de passe de l’usager
Catégorie « Données de connexion (adresse IP, logs, etc.) »
  • Adresse IP
  • Port de connexion
11.1.4. Catégories de personnes concernées par ces traitements

Les personnes concernées par ces traitements sont les suivantes :

Pour gérer les transactions liées à la circulation des documents

  • Les élèves de l’établissement
  • Les personnels enseignants et non enseignants de l’établissement

Pour l’exécution du service d’hébergement de bases de données BCDI, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes :

  • annuaire des emprunteurs comportant les données personnelles collectées par le responsable de traitement ;
  • catalogue du CDI.

11.2. Durée de la sous-traitance

Les présentes dispositions contractuelles relatives à la sous-traitance font partie intégrante des conditions générales de vente et d’utilisation acceptées par le responsable de traitement à l’occasion de la passation de commande. Elles entrent en vigueur à compter de l’acceptation des conditions générales de vente et d’utilisation par le responsable de traitement et sont valables pour la durée de l’abonnement souscrit par le responsable de traitement.

11.3. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage à :

  • traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
  • traiter les données conformément aux instructions documentées du responsable de traitement communiquées à  Réseau Canopé. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat d’une part s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et d’autre part reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

11.4. Sous-traitance

11.4.1.

Le sous-traitant est autorisé à faire appel à la société SynAAps, prestataire d’hébergement Cloud HADS certifié ISO 27001, dont le siège social est sis 49 avenue Albert Einstein à Villeurbanne (69603), ci-après dénommée le « sous-traitant ultérieur »,  pour mener les activités de traitement suivantes :

  • hébergement des serveurs BCDI

Le sous-traitant informe le responsable de traitement préalablement à tout recrutement d’un nouveau sous-traitant ultérieur ou tout changement de sous-traitant ultérieur. 

11.4.2.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

11.5. Droit d’information des personnes concernées

Il appartient au responsable de traitement de fournir, au moment de la collecte des données, aux personnes concernées par les opérations de traitement de leurs données à caractère personnel, l’information relative aux traitements de données qu’il réalise.

11.6. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées par la collecte et le traitement de leurs données à caractère personnel  : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au chef d’établissement responsable de traitement.

11.7. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 36 (trente-six) heures après en avoir pris connaissance et par courrier électronique, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Ce dernier doit effectuer cette notification dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

11.8. Conseil du sous-traitant dans le cadre su respect par le responsable de traitement de ses obligations

Le sous-traitant conseille le responsable de traitement, à la demande de ce dernier, pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant aide le responsable de traitement, à la demande de ce dernier, pour la réalisation de la consultation préalable de l’autorité de contrôle.

11.9. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

  • la pseudonymisation et le chiffrement des données à caractère personnel ;
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

11.10. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à renvoyer toutes les données à caractère personnel au responsable de traitement.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

11.11. Délégué à la protection des données

Le sous-traitant informe le responsable de traitement des coordonnées suivantes de son délégué à la protection des données : dpo@reseau-canope.fr

11.12. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

  1. le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  2. les catégories de traitements effectués pour le compte du responsable du traitement ;
  3. le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
  4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • la pseudonymisation et le chiffrement des données à caractère personnel ;
    • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

11.13. Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

11.14. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

  • fournir au sous-traitant les données visées à l’article 11.1 des présentes clauses ;
  • documenter par écrit toute instruction concernant le traitement des données par le sous-traitant ;
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ;
  • superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.