Summary
11/12/2024

Conditions générales de Services

Conditions générales de Services

Services

La plateforme Data Analysis Core de l’ICM (ci-après « DAC » ou « ICM ») fournit un soutien structurel et une expertise pour le traitement, l’analyse et la gestion des données de recherche. Les services offerts par le DAC vont des procédures standardisées aux approches personnalisées. La DAC développe des scripts, des pipelines, des outils et des applications qui répondent aux besoins scientifiques et qui requièrent une connaissance du domaine. La DAC n’est pas limitée à des modalités ou technologies de données spécifiques, et traite par exemple les données omiques, de microscopie, de neuro-imagerie, d’électrophysiologie et de recherche clinique. Les services offerts au Client (ci-après les « Services ») sont détaillés dans un devis numérique, et si nécessaire accompagnés d’un document numérique intitulé « Détails du Service ».

Demande et gestion des Services

Tout Service demandé par le Client donnera lieu à l’émission d’un devis écrit sur support électronique, accompagné des présentes conditions générales et, le cas échéant, de spécifications supplémentaires dans les Détails du Service. L’acceptation du devis par le Client ou l’émission d’une commande de Service constitue une acceptation inconditionnelle et sans réserve par le Client des présentes conditions générales de Service et du Détail du Service. Toute modification de l’objet ou de l’étendue des Services en cours de réalisation des Services fera l’objet d’un nouveau devis et d’une facturation supplémentaire. La DAC peut conditionner la réalisation des Services au paiement d’un acompte à l’acceptation du devis, qui peut s’élever jusqu’à 100% du prix du Service.

Engagements de la DAC

La DAC s’engage à réaliser les Services dans le respect des principes éthiques, des cadreset réglementaires européens et français, et du secret professionnel. Dans l’exécution des Services, le DAC est tenu à une obligation de moyens et mettra en œuvre les moyens nécessaires à l’exécution des Services. Engagements du Client

Le Client garantit à l’ICM que les données fournies par lui ont été collectées conformément à la législation applicable. Pour tout Services, le Client s’engage à fournir à la DAC tous les documents et éléments nécessaires à leur exécution. La DAC se réserve le droit de refuser d’analyser ou d’émettre des réserves sur les résultats en raison de la qualité insuffisante des données, des effets statistiques ou de la conception. La DAC ne pourra en aucun cas être tenu responsable en cas de réponse tardive du Client par rapport aux délais indiqués par la DAC, pour les informations nécessaires à la bonne exécution des services par la DAC. Le Client reconnaît que les résultats obtenus lors de l’exécution des services sont de nature expérimentale. ICM ne fait aucune déclaration et n’offre aucune garantie, expresse ou implicite, de quelque nature que ce soit concernant les résultats.

Livrables

Les délais d’exécution des Services sont donnés à titre indicatif et ne constituent pas un engagement de la part de DAC. Les retards ne peuvent justifier l’application de pénalités de retard, la résiliation du contrat ou d’autres Services en cours.

Propriété intellectuelle et propriété des résultats

Le Client est propriétaire des tous les résultats des Services faisant l’objet du devis, sous réserve du paiement intégral des Services tel qu’établi dans le devis. L’ICM reste propriétaire des connaissances et du savoir-faire utilisés pour la réalisation des Services, ainsi que de toute amélioration qui serait apportée à ces connaissances et à ce savoir-faire pendant la réalisation des Services. Aucun droit d’utilisation sur les connaissances et le savoir-faire de l’ICM n’est accordé au Client à l’occasion de l’exécution des Services demandées par le Client.

Confidentialité

L’ICM s’engage à traiter de manière confidentielle les Services et s’interdit d’en faire usage ou de le communiquer à quelque tiers que ce soit, pour quelque cause que ce soit, sauf pour prouver l’exécution des Services et notamment en obtenir le paiement, ou sur demande d’une autorité administrative ou judiciaire compétente. L’ICM s’engage également à traiter de manière confidentielle toutes les informations techniques, commerciales, financières ou autres qui lui seraient communiquées dans le cadre de l’exécution des Services, et identifiées comme confidentielles par le Client. L’ICM s’engage à faire respecter cette obligation de confidentialité par ses salariés et sous-traitants éventuels.

Publications

Lorsque des membres de la DAC ont participé de manière substantielle aux Services, elles doivent figurer dans la liste des auteurs. Dans toutes les communications et publications relatives aux résultats des Services, le Client doit systématiquement et impérativement mentionner la participation de la DAC ainsi que préciser la nature de la contribution, en incluant la mention suivante :

  • “Part of this work was carried out in the Data Analysis Core facility (DAC). We gratefully acknowledge [nom de la (des) personne(s)] for [des tâches ou des conseils spécifiques]”

En outre, dans toutes les communications et publications relatives aux résultats des Services, le Client doit systématiquement et impérativement mentionner :

  • “The DAC is supported by 2 “Investissements d’avenir” (ANR-10- IAIHU-06 and ANR-11-INBS-0011-NeurATRIS) and the “Fondation pour la Recherche Médicale”

Conditions de paiement

Le Client s’engage à payer les Services, conformément au devis dans un délai de trente (30) jours ou à durée convenue dans le devis, à compter de la date d’émission de la facture. En cas de retard de paiement, l’ICM se réserve le droit d’appliquer des pénalités de retard égales à une fois et demie le taux d’intérêt légal en vigueur au jour de la facturation, qui seront automatiquement et de plein droit acquis à l’ICM, sans formalité aucune ni mise en demeure préalable. L’ICM appliquera également qu’une indemnité forfaitaire pour frais de recouvrement de 40€.

Réclamation

Toute réclamation du Client devra être formulée par courrier recommandé avec accusé de réception à l’ICM à l’adresse postale suivante : Institut du Cerveau et de la Moelle épinière – 47 boulevard de l’Hôpital – 75013 Paris – l’ICM s’efforcera d’y répondre dans les meilleurs délais. Toute contestation qui n’aurait pas été réglée à l’amiable sera portée devant les tribunaux de Paris.

Protection des données personnelles

Pour les seuls besoins des prestations et conformément aux dispositions de l’article 28 du RGPD, le Client, responsable de traitement, autorise l’ICM (le « Prestataire ») agissant en qualité de sous-traitant, à procéder aux traitements des Données Personnelles dans les conditions ci-après définies. L’ensemble des définitions prévues par le RGPD s’appliquent au présent accord.

Obligations du Client

Pour les besoins des prestations confiées, le Client en qualité de responsable de traitement s’engage à:

  • Mettre à disposition du Prestataire les instructions quant aux opérations de traitement des Données Personnelles
  • Transmettre au Prestataire des Données Personnelles pseudonymisées de participants en vue de bénéficier des prestations du Prestataire, à l’exclusion de toute donnée directement identifiante
  • Avoir informé les personnes concernées du traitement de leurs Données Personnelles, de l’existence de leurs droits, de la réutilisation secondaire de leurs Données Personnelles dans le cadre d’autres projets de recherche scientifiques
  • Avoir recueilli le consentement des personnes concernées au traitement de leurs Données Personnelles le cas échéant

Obligations du Prestataire

  • A la demande du Client, le Prestataire s’engage à communiquer au Client l’ensemble des mesures de sécurité (techniques et organisationnelles) nécessaires à l’exécution du traitement de Données Personnelles et qu’il s’engage à mettre en œuvre. Le Prestataire doit justifier la mise en œuvre de ces mesures au Client en cas d’audit
  • Traiter les Données Personnelles conformément aux instructions écrites expresses du Client, pour la période spécifiée par le Client et dans la limite des délais prévus par la réglementation applicable
  • Tenir un registre écrit des catégories des activités de traitements effectuées pour le compte du Client
  • Prendre toutes les mesures de protection techniques et organisationnelles appropriées afin de garantir la confidentialité des Données Personnelles et d’assurer un niveau de sécurité adapté au risque encouru
  • Veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu du devis reçoivent la sensibilisation nécessaire en matière de protection des Données Personnelles et s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • Aider le Client à garantir le respect de ses obligations légales et réglementaires compte tenu de la nature des traitements et des informations à sa disposition (réalisation d’analyses d’impact sur la vie privée, consultation préalable de l’autorité de contrôle)
  • Informer le Client si une instruction est considérée comme constituant une violation de la réglementation applicable
  • Apporter son assistance au Client afin de lui permettre de répondre, dans les délais et selon les conditions prévus par la réglementation applicable, à toute demande d’exercice d’un droit, requête ou plainte d’une personne concernée par le traitement de ses Données Personnelles ou d’une autorité de protection des données personnelles ou tout autre régulateur. En tout état de cause, dans l’hypothèse où le traitement de Données Personnelles pour le compte du Client concerne les participants, il est entendu entre les parties que les demandes d’exercice de droits desdites personnes concernées s’exerceront auprès de l’investigateur du projet ou l’un des membres de son équipe intervenant dans le projet, dans la mesure où, seuls ces derniers peuvent conserver le lien entre l’identité codée desdites personnes et leurs nom(s) et prénom(s)

Contrôles, audits et fourniture de la documentation

Le Prestataire reconnaît que le Client, par le biais de ses auditeurs internes ou de tout auditeur de son choix mandaté soumis au secret professionnel, pourra faire réaliser ou réaliser des audits de tout ou partie des prestations fournies, y compris concernant le respect des obligations en matière de protection des Données Personnelles qui incombent au Prestataire en qualité de sous-traitant. A ce titre, le Prestataire s’engage à autoriser la conduite de ces audits et de collaborer avec les auditeurs et de leur mettre à disposition tout document, information, outil ou autre élément en lien avec le traitement des Données Personnelles du Client pouvant être utiles au bon déroulement de l’audit. Le Prestataire s’engage également à autoriser les audits et inspections qui peuvent être mis en œuvre par l’autorité de contrôle compétente, et contribuer à ces audits et/ou inspections. A ce titre, le Prestataire s’engage à informer le Client dès réception de toute demande émanant d’une autorité de contrôle ainsi que de tout contrôle sur place ou sur pièce qui serait réalisé par l’autorité portant sur les opérations de traitement de Données Personnelles du Client.

Mesures de sécurité

Le Prestataire s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité des Données Personnelles adapté aux risques encourus. Dans le cadre de la réalisation des prestations, le Prestataire s’engage notamment à:

  • Garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Rétablir la disponibilité des Données Personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Tester, analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;
  • Prendre toutes précautions utiles afin de préserver la sécurité des Données Personnelles et notamment d’empêcher toute destruction, perte, altération, divulgation ou accès non autorisé, de manière accidentelle ou illicite.
  • Prendre toutes les mesures empêchant toute utilisation détournée ou frauduleuse des Données Personnelles, documents et informations traités dans le cadre du Contrat.

Dans ce cadre, le Prestataire s’engage à limiter l’accès aux Données Personnelles du Client aux membres du personnel qualifiés et autorisés, au regard de leurs fonction et qualité, dans la stricte limite de ce dont ils ont besoin pour accomplir les prestations et faire respecter une obligation de confidentialité à l’ensemble des personnes autorisées à traiter les Données Personnelles du Client.

Durée de conservation des Données Personnelles

Sauf volonté contraire expresse et écrite du Client, les Données Personnelles seront conservées en base active par l’ICM pendant une durée de trois (3) mois à compter de la fin de la prestation. Puis elles seront archivées pendant une durée de cinq (5) ans. A l’échéance de la durée des obligations du Prestataire, au choix du Client et sur instruction de ce dernier, le Prestataire s’engage à :

  • Supprimer les Données Personnelles traitées dans le cadre des prestations et à détruire toutes les copies existantes et à transmettre au Client l’attestation de destruction
  • Ou restituer les Données Personnelles traitées dans le cadre des prestations et à détruire toutes les copies existantes et à transmettre au Client l’attestation de destructions

Sous-traitance du Prestataire

Le Prestataire peut faire appel à des sous-traitants ultérieurs pour mener des activités de traitement spécifiques. Dans ce cas, le Prestataire informe préalablement et par écrit le Client de tout changement envisagé concernant l’ajout ou le remplacement des sous-traitants ultérieurs. Le Client dispose d’un délai de un (1) mois à compter de la date de réception de cette information pour présenter ses objections éventuelles. Le recours à un sous-traitant ultérieur ne peut être effectué que si le Client n’a pas émis d’objection pendant le délai convenu.

Lorsque le Prestataire recrute un sous-traitant ultérieur, il le fait au moyen d’un contrat écrit qui prévoit les mêmes obligations en matière de protection des Données Personnelles que celles fixées dans le cadre du présent contrat, en incluant les obligations de la présente annexe dans le contrat qui sera conclu entre le Prestataire et ledit sous-traitant ultérieur. Le Prestataire veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des Données Personnelles, le Prestataire demeure pleinement responsable à l’égard du Client de l’exécution par le sous-traitant ultérieur de ses obligations.

Responsabilité

Le Client et le Prestataire conviennent que les amendes administratives, imposées directement et exclusivement à l’une ou l’autre des Parties par l’autorité de contrôle compétente pour non-respect par la partie défaillante de la réglementation applicable à la protection des Données Personnelles, ne sauraient être dues par l’autre Partie et ne pourront en aucun cas faire l’objet de compensation avec une quelconque somme due par la partie défaillante à l’autre partie au titre du présent contrat.

Transfert de Données Personnelles en dehors de l’UE/EEE

Dans le cadre de la réalisation des prestations objet du Contrat, le Prestataire peut être amené à réaliser des transferts de Données Personnelles du Client en dehors de l’UE/EEE. Le Prestataire s’engage à ce titre :

  • A solliciter l’accord écrit du Client préalablement à tout transfert ;
  • A se conformer aux instructions du Client en ce qui concerne les transferts en dehors de l’UE/EEE, excepté si le Prestataire est tenu de procéder à de tels transferts en vertu du droit applicable. Dans ce cas, le Prestataire s’engage à informer le Client de cette obligation avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • A encadrer le transfert selon des garanties appropriées telles que définies aux articles 44 et suivants du RGPD.

Notification des violations des Données Personnelles

Le Prestataire notifie le Client par écrit de toute violation de Données Personnelles dans un délais maximum de 72 heures après en avoir pris connaissance. Le Prestataire s’engage à fournir au Client toute l’assistance et la coopération qu’il peut raisonnablement attendre pour notifier toute violation de Données Personnelles à l’autorité de protection des Données Personnelles compétente et informer les personnes concernées de la survenance de cette violation lorsque nécessaire.

Notice d’information – Traitement des Données personnelles du Client/Prospect

Pour la réalisation des prestations et la gestion des contrats, l’Institut du Cerveau traite des Données Personnelles relatives au personnel du Client/Prospect nécessaires à l’élaboration de mesures contractuelles ou pré-contractuelles en qualité de responsable de traitement pour ce traitement spécifique uniquement. Les Données Personnelles recueillies sont les suivantes :

  • Informations d’identité : nom, prénom, organisme, etc.
  • Informations de contact : coordonnées professionnelles
  • Données nécessaires à l’exécution des contrats et à la facturation le cas échéant

Les destinataires des données sont les personnels habilités des services en charge de la gestion et du suivi du Client/Prospect. Les données de contact sont conservées pendant la durée de la prestation, et au-delà pendant une durée de cinq (5) ans à compter du dernier échange. Les données liées à la facturation sont conservées dix (10) ans à compter de la clôture de l’exercice par la Direction des finances de l’Institut du Cerveau. Conformément aux dispositions légales et réglementaires applicables, les personnels du Client/Prospect disposent des droits d’accès, de rectification, mise à jour, d’opposition au traitement, de limitation et d’effacement des données. Les personnels du Client/Prospect peuvent exercer leurs droits en s’adressant par mail au Responsable de la plateforme à l’adresse suivante : dac@icm-institute.org. Ils peuvent également contacter la DPO de l’Institut du Cerveau à l’adresse suivante : dpo@icm-institute.org. S’ils estiment après avoir contactés l’Institut du Cerveau que leurs droits ne sont pas respectés, ils ont la possibilité d’introduire une réclamation auprès de la CNIL.