Conditions générales d’utilisation

Article 1 – Domaine d’application

L’accès et l’utilisation du Site entraîne l’acceptation expresse et sans réserve de l’ensemble des présentes Conditions Générales par l’Utilisateur. L’accès et l’utilisation de nos services payant entraîne également l’acceptation expresse et sans réserve de nos Conditions Générales de Vente.

L’Utilisateur confirme donc avoir lu et compris l’intégralité des présentes Conditions Générales d’Utilisation (ci-après CGU) avant toute navigation sur le Site et s’engage à les respecter.

Les présentes CGU pourront être modifiées à tout moment, afin notamment de prendre en compte toute évolution légale, éditoriale ou technique, sans autre formalité que la mise en ligne d’une nouvelle version modifiée, qui sera seule applicable.

Article 2 – Accès au Site

Le Site est accessible par le réseau Internet 24 heures sur 24 et 7 jours sur 7, sauf cas de force majeure, événement hors de contrôle de la société ARTHEL et/ou de l’hébergeur du service, pannes éventuelles ou interventions de maintenance nécessaires pour assurer le bon fonctionnement du Site.

La société ARTHEL s’engage à mettre en œuvre tous les moyens dont elle dispose pour assurer une bonne qualité d’accès au Site ainsi que la fiabilité et la rapidité de mise en ligne des données qu’il diffuse.

Un service d’assistance est à la disposition de l’Utilisateur aux heures ouvrées de 9 H à 18 H du lundi au jeudi et de 9 H à 17 H le vendredi (sauf jour férié) au numéro suivant :XX XX XX XX XX ou par email : XXXXX@XXXX

Article 3 – Contenu du Site

Toutes les marques, photographies, textes, commentaires, illustrations, images animées ou non, séquences vidéo, sons, ainsi que toutes les applications informatiques qui pourraient être utilisées pour faire fonctionner ce site et plus généralement tous les éléments reproduits ou utilisés sur le site sont protégés par les lois en vigueur au titre de la propriété intellectuelle.

Ils sont la propriété pleine et entière de la société ARTHEL ou de ses partenaires. Toute reproduction, représentation, utilisation ou adaptation, sous quelque forme que ce soit, de tout ou partie de ces éléments, y compris les applications informatiques, sans l’accord préalable et écrit de la société ARTHEL sont strictement interdites.

Le fait pour la société ARTHEL de ne pas engager de procédure dès la prise de connaissance de ces utilisations non autorisées ne vaut pas acceptation desdites utilisations et renonciation aux poursuites.

L’utilisation de robots, de robots d’exploration, d’autres logiciels ou de dispositifs automatiques ou de processus manuels visant à surveiller ou copier les services du Site, objets des présentes, ou leur contenu sans autorisation écrite préalable de la société ARTHEL est interdite.

Article 4 – Gestion du site

Pour la bonne gestion du Site, la société ARTHEL peut à tout moment :

suspendre, interrompre ou limiter l’accès à tout ou partie du Site, réserver l’accès au Site, ou à certaines parties du Site, à une catégorie déterminée d’internaute ;
supprimer toute information pouvant en perturber le fonctionnement ou entrant en contravention avec les présentes CGU ou lois en vigueur;

Article 5 – Responsabilités

La responsabilité de la société ARTHEL ne peut être engagée en cas de défaillance, panne, difficulté, suspension ou interruption de fonctionnement, empêchant l’accès au Site ou à une de ses fonctionnalités.

Le matériel de connexion au Site de l’Utilisateur est sous son entière responsabilité. L’Utilisateur doit prendre toutes les mesures appropriées pour protéger son matériel et ses propres données notamment d’attaques virales par Internet. L’Utilisateur est par ailleurs le seul responsable des sites et données qu’il consulte.

La société ARTHEL ne peut être tenue responsable en cas de poursuites judiciaires à l’encontre de l’Utilisateur :

du fait de l’usage du site ou de tout service accessible via Internet ;
du fait du non-respect par lui des présentes CGU.

La société ARTHEL n’est pas responsable des dommages causés à l’Utilisateur, à des tiers et/ou à son équipement du fait de sa connexion ou de son utilisation du Site et l’Utilisateur renonce à toute action contre la société ARTHEL de ce fait.

Si la société ARTHEL venait à faire l’objet d’une procédure amiable ou judiciaire en raison de l’utilisation du site, elle pourra se retourner contre l’Utilisateur pour obtenir indemnisation de tous les préjudices, sommes, condamnations et frais qui pourraient découler de cette procédure.

Article 6 – Liens hypertextes

La mise en place par l’Utilisateur de tous liens hypertextes vers tout ou partie du Site est strictement interdite, sauf autorisation préalable et écrite de la société ARTHEL.

La société ARTHEL est libre de refuser cette autorisation sans avoir à justifier de quelque manière que ce soit sa décision. Dans le cas où la société ARTHEL accorderait son autorisation, celle-ci n’est dans tous les cas que temporaire et pourra être retirée à tout moment, sans obligation de justification à sa charge.

Toute information accessible via un lien vers d’autres sites n’est pas sous le contrôle de la société ARTHEL qui décline toute responsabilité quant à leur contenu.

Article 7 –Confidentialité et Protection des données à caractère personnel

Soucieux de la protection de vos données personnelles, ARTHEL a désigné un délégué à la protection des données personnelles (dit « DPO ») auprès de la CNIL le 28/03/2023.

ARTHEL a une activité de Responsable de traitement et de Sous-traitant. Les personnes concernées sont les professionnels de l’immobilier et les locataires de ces derniers.

Tout d’abord, concernant les données à caractère personnel que vous nous communiquez par le biais de notre site internet c’est-à-dire des formulaires disponibles (par exemple une demande de contact, demande d’adhésion, de recrutement, etc…) ou celles collectées pour le suivi de nos clients sont destinées et traitées par ARTHEL, en sa qualité de responsable de traitement, à des fins de gestion de la Plateforme SGIL et pour répondre à votre demande.

Lorsque vous remplissez un formulaire sur notre site, vous pouvez être amenés à nous communiquer certaines données personnelles nécessaires à la gestion de votre demande.

Puis, concernant les données à caractère personnel qui sont collectées et stockées sur la Plateforme SGIL, elles sont destinées et traitées par nos clients, en leur qualité de responsable de traitement, à des fins de gestion interne de leurs locataires et de suivi des dossiers locataires. Dans le cadre de la mise à disposition de la Plateforme SGIL, ARTHEL a une activité de Sous-traitant.

La nature et la qualité des Données à caractère personnel collectées à votre sujet varient selon les relations que vous entreprenez avec ARTHEL dont les principales sont :
– Les données de connexion comme votre mot de passe, votre adresse IP, votre log de connexion
– Les informations relatives à votre navigation
– Les données d’identification comme votre nom, votre nom de jeune fille ou d’usage, votre prénom, votre adresse email, votre adresse postale, votre numéro de téléphone, votre date de naissance, votre pièce d’identité
– Les données relatives à votre vie professionnelle notamment votre profession, votre fonction et votre matricule
– Les données relatives aux personnes morales comme la dénomination sociale, les coordonnées du dirigeant, le numéro de SIREN, de SIRET, le siège social et tout document prouvant votre qualité de professionnel de l’immobilier
– Les données bancaires et financières comme votre RIB ou la date du dernier paiement de votre loyer.

Nous collectons vos Données à caractère personnel pour des finalités déterminées et sur différents fondements juridiques. Vos données sont transmises, pour certaines tâches liées aux finalités, dans la limite de leurs missions et habilitations respectives, aux destinataires suivants :
– aux professionnels de l’immobilier dans le cadre du suivi de votre dossier
– prestataires et sous-traitants auxquels nous faisons appel pour réaliser un ensemble d’opérations et tâches, en notre nom notamment : Aquéos pour l’hébergement de données, Yoozly et DPO consulting en conseils.
Les données sont conservées conformément à nos obligations légales en matière de prescription et n’excèdent pas ce qui est nécessaire à la réalisation de la finalité

Conformément à la règlementation européenne sur la protection des données n° 2016/619, vous pouvez modifier, effacer, accéder à vos données. Vous disposez aussi de la possibilité de vous opposer ou de limiter le traitement de certaines de vos données. Enfin, vous pouvez demander la portabilité de vos données et nous émettre une directive quant à l’issue de vos données post-mortem.

Pour plus d’information sur l’utilisation de vos données et l’exercice de vos droits, veuillez consulter notre politique de confidentialité ou contacter notre DPO à l’adresse dpo@sgil.fr.

Pour plus d’informations, veuillez consulter notre politique de confidentialité.

Article 8 – Cookies

Un cookie est une information déposée sur votre disque dur par le serveur du site que vous visitez. Il contient plusieurs données qui sont stockées sur votre ordinateur dans un simple fichier texte auquel un serveur accède pour lire et enregistrer des informations.

Le site https://www.sgil.fr/ utilise des cookies fonctionnels nécessaires pour une navigation optimale et des cookies facultatifs tels que la mesure d’audiences ou le dépôt de cookies tiers conditionnés par votre consentement.

Pour plus d’informations sur le paramétrage de vos cookies, veuillez consulter notre politique cookies et notre politique de confidentialité.

Article 9 – Loi applicable

Les présentes CGV sont régies par la loi française et soumises à la compétence des tribunaux de Paris sous réserve d’une attribution de compétence spécifique découlant d’un texte de loi ou réglementaire particulier.

Conditions générales dE VENTE

Article 9 : Protection des données personnelles

9.1 Activité en tant que RT

Dans le cadre de l’exécution de nos obligations contractuelles et pour mener à bien l’ensemble de nos prestations et le suivi de notre relation commerciale, ARTHEL est amené à collecter directement auprès de vous, des données personnelles concernant votre entreprise, vous et votre personnel. L’ensemble de ces données est strictement nécessaire à l’établissement et au suivi de notre relation commerciale. La base légale du traitement est l’exécution d’un contrat.

A ce titre, ARTHEL agit en tant que Responsable de traitement et est donc responsable du respect des obligations issues du Règlement européen n°2016/679 dit règlement général sur la protection des données (RGPD) concernant la collecte et le traitement des données à caractère personnel réalisés pendant la prestation.

Les données à caractère personnel traitées par ARTHEL sont des données d’identification (nom, prénom), des données relevant de la vie personnelle, professionnelle (fonction, adresse mail, numéro de téléphone, lieu de travail), des données économiques (RIB, données de paiement) et les données relatives aux personnes morales.

Nous ne collectons aucune donnée sensible comme la religion, l’appartenance syndicale, les origines raciales et ethniques, les condamnations pénales ou les données relatives à la santé.

Pour ARTHEL, la protection des données personnelles est fondamentale car elle reflète les relations que nous entretenons avec vous. ARTHEL a donc désigné un Délégué à la Protection des Données (DPD) et met en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection des données que nous traitons pour vous.

Ainsi et conformément aux dispositions du RGPD, ARTHEL conserve les données concernant votre entreprise, vous et votre personnel 5 ans à compter de la fin de notre relation contractuelle. Les données sont transmises uniquement aux services internes de ARTHEL. Hormis aux organismes habilités (Administration fiscale, Administration douanière ou Administration judiciaire par exemple) ainsi qu’aux sous-traitants strictement nécessaires à l’exécution de nos services, ARTHEL ne communiquera jamais vos données à des tiers ou à des organismes externes sans votre accord exprès.

A ce titre, vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation et d’effacement au traitement de ces données. Pour de plus amples informations ou pour toute demande concernant l’exercice de ces droits, vous pouvez consulter notre Politique de Protection des données ou contacter notre DPD à l’adresse suivante : « dpo@sgil.fr » ou introduire une réclamation devant une autorité de contrôle (CNIL) : https://www.cnil.fr/fr/agir

9.2 Activité en tant que ST

Dans le cadre de ses prestations, ARTHEL vous met à disposition sa Plateforme SGIL pour vous permettre la gestion et le suivi de vos locataires. Pour effectuer cette prestation, ARTHEL est amené à collecter directement auprès de vous un certain nombre de données concernant votre société, votre personnel et vous clients. Ces données nous permettent de vous mettre à disposition notre plateforme SGIL et de réaliser la prestation de gestion du suivi des locataires ayant des incidents de paiements.

A ce titre, ARTHEL agit en tant que sous-traitant pour votre compte et est donc responsable du respect des obligations issues du Règlement européen n°2016/679 dit règlement général sur la protection des données (RGPD) concernant la collecte et le traitement des données à caractère personnel réalisés pour votre compte.

Ainsi, il vous appartient, en tant que Responsable de traitement au sens dudit Règlement, de fournir l’ensemble des informations relatives au traitement des données à caractère personnel aux personnes concernées lors de la collecte de celle-ci.

Ainsi et conformément aux dispositions du RGPD, ARTHEL s’engage :

A ne traiter les données à caractère personnel que sur vos instructions documentées ;
A ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité de ces données ou soient soumis à une obligation légale appropriée de confidentialité ;
A traiter les données à caractère personnel en Union européenne ou dans un pays ayant fait l’objet d’une décision d’adéquation par la Commission européenne. A défaut, nous nous assurons, conformément à la règlementation applicable, que le transfert est encadré par les clauses contractuelles types de la Commission Européenne qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes et du respect des standards techniques utilisés ;
A vous aider, par des mesures techniques et organisationnelles appropriées, à vous acquitter de votre obligation de donner suite aux demandes des personnes concernant leurs données à caractère personnel ;
A vous informer sans délai, après avoir pris connaissance d’une violation de la base de données à caractère personnel ;
A vous aider dans vos missions relatives à la sécurité des données à caractère personnel et notamment la sécurité du traitement (chiffrement, confidentialité, etc.), la mise en place des différentes obligations à la suite d’une violation de données à caractère personnel, et l’analyse d’impact relative à la protection des données traitées, etc.
A ne conserver les données personnelles que conformément à nos obligations légales et règlementaires en vigueur en matière de prescription, puis à détruire l’ensemble des supports de traitement existants ;
A mettre à votre disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent contrat et pour permettre la réalisation d’audits ou toute personne que vous auriez mandaté à cet effet ;
A tenir un registre de toutes les catégories d’activités de traitement effectuées pour votre compte.

Dans le cadre de l’exercice de ses missions, ARTHEL fait appel à des sous-traitants ultérieurs notamment pour l’hébergement et le développement de sa Plateforme. A ce titre, ARTHEL s’engage à choisir des sous-traitants ultérieurs conformes aux obligations du RGPD et à informer son client de tout changement dans le choix de ses sous-traitants.

Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation et d’effacement au traitement de ces données. Pour de plus amples informations ou pour toute demande concernant les traitements de données que nous effectuons pour votre compte, vous pouvez consulter notre Politique de Protection des données ou contacter notre DPD à l’adresse suivante : « dpo@sgil.fr » ou introduire une réclamation devant une autorité de contrôle (CNIL) : https://www.cnil.fr/fr/agir

Conditions générales d’Adhésion

Article 1. Préambule

La société ARTHEL édite sous sa marque « SGIL » un site Internet accessible à l’adresse www.SGIL.fr, permettant l’accès, la consultation et l’utilisation de son Fichier des incidents locatifs qui a pour objectif, en France, de rassembler les données personnelles des locataires de baux d’habitation en situation d’impayés qui sont collectées par des professionnels de la gestion immobilière (administrateurs de biens, bailleurs institutionnels etc.), pour ensuite les mutualiser afin que ces mêmes professionnels puissent sélectionner les locataires de leurs clients et/ou de leurs propres biens immobiliers.

Le présent Contrat exprime l’intégralité des obligations de la société ARTHEL et de l’Adhérent.

L’Adhérent déclare avoir reçu, préalablement à sa souscription au présent Contrat, toutes les informations et caractéristiques techniques nécessaires et toutes les précisions qu’il aura demandées concernant le mode de fonctionnement et le contenu du Fichier des incidents locatifs.

Article 2. Durée

Le présent Contrat entre en vigueur à compter de la date de sa signature électronique par l’Adhérent.

Dès la signature électronique du présent Contrat par l’Adhérent, un email de confirmation lui est immédiatement adressé.

Le présent Contrat est conclu pour une durée initiale ferme de douze (12) mois et il est ensuite reconduit tacitement par périodes successives de douze (12) mois, sauf dénonciation par l’une ou l’autre des Parties par lettre recommandée avec accusé de réception, et réceptionnée au minimum deux (2) mois avant le terme de la période en cours.

Article 3. Droit de consultation – Facturation mensuelle

L’adhésion au Fichier des incidents locatifs est consentie moyennant le paiement par l’Adhérent d’un Droit de consultation lors de chaque consultation de la Fiche d’un locataire inscrit dans le Fichier des incidents locatifs :

Droit de consultation : 3 € H.T. / consultation

TVA 20 % : 0,60 €

TOTAL : 3,60 € TTC / consultation

Ces Droits de consultation seront facturés mensuellement par l’envoi d’une facture par email à l’Adhérent.

L’Adhérent est informé que le droit de consultation ne comprend pas les coûts d’accès à Internet, ni les coûts téléphoniques, ni les coûts d’appels à l’Assistance Client, qui demeurent entièrement à la charge de l’Adhérent.

L’Adhérent est également informé de ce que les présentes conditions financières pourront faire l’objet d’une réévaluation chaque année par la société ARTHEL. Dans cette hypothèse l’Adhérent en sera informé au moins trois (3) mois avant le terme de la période en cours.

L’Adhérent aura alors la faculté de résilier le présent Contrat à condition de respecter les formes prévues à l’article 2 ci-dessus. A défaut pour l’Adhérent de résilier le présent Contrat dans les formes prévues à l’article 2, son adhésion au Fichier des incidents locatifs sera reconduite tacitement pour une nouvelle période de douze (12) mois au prix fixé dans les nouvelles conditions financières.

Toute facture sera payable par l’Adhérent dans son intégralité dans les trente (30) jours suivant son établissement.

Toute facture non payée à l’échéance porte intérêts, de plein droit et sans mise en demeure préalable, au taux de refinancement semestriel de la Banque centrale européenne (BCE), en vigueur, majoré de 10 points.

Tout retard de paiement entraînera l’exigibilité immédiate de la totalité des sommes dues à la société ARTHEL par l’Adhérent, augmentée de 15% à titre de pénalité forfaitaire, dans le sens de l’article 1231-5 du Code civil, sans préjudice de toute autre action qu’elle serait en droit d’intenter, à ce titre, à l’encontre de l’Adhérent.

Par ailleurs, en cas de non-paiement de la facture par l’Adhérent à son échéance, la société ARTHEL se réserve le droit de suspendre immédiatement l’accès au Fichier des incidents locatifs, sans préjudice de sa faculté de résilier le présent Contrat dans les conditions de l’article 9 ci-après. Le rétablissement de l’accès au Fichier des incidents locatifs ne sera effectif qu’après parfait paiement des sommes dues par l’Adhérent et pour la durée d’adhésion restant à courir.

Article 3. Droit de consultation – Facturation à l’achat

Droit de consultation : 3 € H.T. / consultation

TVA 20 % : 0,60 €

TOTAL : 3,60 € TTC / consultation

L’Adhérent pourra acheter des « crédits » de 25, 50 ou 100 Droits de consultations par PAYPAL et PAYBOX sur le site de la société ARTHEL.

25 crédits : 75 € H.T.

TVA 20 % : 15 €

TOTAL : 90 € TTC

50 crédits : 150 € H.T.

TVA 20 % : 30 €

TOTAL : 180 € TTC

100 crédits : 300 € H.T.

TVA 20 % : 60 €

TOTAL : 360 € TTC

Ces Droits de consultation seront facturés à l’achat par l’envoi d’une facture par email à l’Adhérent.

Lorsque les « crédits » de l’Adhérent seront épuisés son accès au Fichier des incidents locatifs sera suspendu immédiatement. Le rétablissement de l’accès au Fichier des incidents locatifs ne sera effectif qu’après l’achat de nouveaux « crédits ».

Article 4. Conditions d’accès au service

Le Fichier des incidents locatifs n’est accessible qu’aux seuls Adhérent qui auront été préalablement autorisés par la société ARTHEL et après avoir transmis, notamment :

un extrait K-bis à jour,
une carte professionnelle (carte G ou carte T) en cours de validité

La société ARTHEL se réserve toutefois le droit de ne pas satisfaire une demande d’adhésion qui lui serait soumise et ce sans motif.

L’Adhérent devra désigner une personne physique seule autorisée à accéder au Fichier des incidents locatifs (ci-après, « l’Utilisateur Autorisé »), étant précisé que l’Adhérent ne peut autoriser d’autres personnes que ses salariés. Lorsqu’un Utilisateur Autorisé quitte la structure de l’Adhérent, l’Adhérent prévient cet Utilisateur Autorisé qu’il n’est plus autorisé à utiliser le Fichier des incidents locatifs. Tout usage de l’accès de l’Adhérent au Fichier des incidents locatifs par une personne non autorisée engage la responsabilité de l’Adhérent.

L’accès de l’Utilisateur Autorisé au Fichier des incidents locatifs se fait, via l’URL publique www.SGIL.fr et après saisie d’un code d’identification composé d’un code d’accès et d’un mot de passe

Le code d’identification est attribué par la société ARTHEL et adressé par email à l’Adhérent dès la signature du présent Contrat.

Lors de la première connexion, l’Utilisateur Autorisé devra renseigner les informations suivantes : ses nom, prénom, adresse email et numéro de téléphone.

Chaque code d’identification est unique, personnel, confidentiel et intransmissible.

L’Utilisateur Autorisé peut accéder au Fichier des incidents locatifs par Internet 24 heures sur 24 et 7 jours sur 7, sauf cas de force majeure, événement hors de contrôle de la société ARTHEL et/ou de l’hébergeur du service, pannes éventuelles ou interventions de maintenance nécessaires pour assurer le bon fonctionnement du Site.

L’Adhérent et/ou l’Utilisateur Autorisé reconnaît être parfaitement informé du fait que l’accès au Fichier des incidents locatifs n’est possible que dans la limite du nombre maximum d’accès simultanés souscrits.

Un service d’assistance est à la disposition de l’Adhérent ou de l’Utilisateur Autorisé aux heures ouvrées de 9 H à 18 H du lundi au jeudi et de 9 H à 17 H le vendredi (sauf jour férié) au numéro suivant :XX XX XX XX XX ou par email : XXXXX@XXXX

Article 5. Engagements de l’Adhérent

L’ensemble des données mises à la disposition de l’Adhérent par la société ARTHEL dans le cadre de son adhésion au Fichier des incidents locatifs, est protégé par le droit d’auteur et par le droit des bases de données, conformément aux dispositions du Code de la propriété intellectuelle.

Aucune fonctionnalité du Fichier des incidents locatifs, et notamment les fonctions d’impression, de téléchargement, et/ou d’envoi par courrier électronique, ne saurait être utilisée par l’Adhérent dans le but de violer les droits de propriété intellectuelle attachés aux données.

L’Adhérent s’engage expressément à :

5.1. Vis-à-vis de la société ARTHEL

faire respecter l’étendue de ses obligations par son Utilisateur Autorisé et de manière générale, faire respecter les Conditions générales d’utilisation du Site ;
fournir à la société ARTHEL des informations et documents complets, exacts et dans les délais nécessaires sans qu’elle soit tenu d’en vérifier le caractère complet ou l’exactitude;
avertir directement la société ARTHEL de toute difficulté éventuelle relative à l’exécution du présent Contrat ;
n’utiliser rigoureusement le Fichier des incidents locatifs et toutes les données accessibles via le Fichier que pour les seuls besoins de son activité professionnelle de gestion locative ;
enregistrer sur le Fichier des incidents locatifs le locataire en situation d’impayés locatifs (loyers, charges, remboursement de frais, contributions, taxes ou prestations dus en vertu du contrat bail) équivalent à plus de 3 termes de loyers (charges comprises) et dont la dette est certaine, liquide et exigible ;
renseigner sur le Fichier des incidents locatifs uniquement les informations suivantes : nom, prénom, date de naissance, lieu de naissance et adresse email du locataire ainsi que la date de l’incident de paiement ;
mettre à jour les Fiches des locataires enregistrés sur le Fichier des incidents locatifs ;
dans les 48 heures, supprimer l’enregistrement du locataire du Fichier des incidents locatifs lorsque :
la dette locative est intégralement payée,
des délais de paiement ont été octroyés soit par le Bailleur, le Gestionnaire ou par Décision judiciaire, de Médiation ou de Conciliation,
après un délai de 5 ans à compter du dernier enregistrement de la fiche.
ne pas reconstituer ou tenter de reconstituer, à partir des données, une base de données visant à offrir directement ou indirectement, à titre gratuit ou onéreux, le même Fichier des incidents locatifs ou un Fichier comparable, à des personnes non autorisées, ou même à des Utilisateurs Autorisés dans le but de contourner le nombre d’accès simultanés limités dont bénéficie l’Adhérent au titre du présent Contrat, et/ou diffuser ou vendre, de quelque manière que ce soit, des données obtenues par l’intermédiaire du Fichier des incidents locatifs aux fins d’aider une personne à reconstituer, en tout ou partie, une telle base de données ou un service équivalent ;
préserver la confidentialité de son code d’identification et prendre les mesures nécessaires pour qu’aucun tiers, en quelque qualité que ce soit, n’ait accès à son code d’identification et puisse ainsi accéder illicitement au Fichier des incidents locatifs ;
informer immédiatement la société ARTHEL en cas de vol, perte ou utilisation illicite du code d’identification ;

5.2. Vis-à-vis des locataires

transmettre, par courrier ou par email, à tous les locataires la « Fiche d’information relative à l’enregistrement sur le Fichier des incidents locatifs » annexée aux présentes (Annexe 1),
inclure dans tous les nouveaux baux d’habitation, la clause suivante :

« En cas d’impayés par le Locataire (loyers, charges, remboursement de frais, contributions, taxes ou prestations dus en vertu du présent bail) équivalent à plus de 3 termes de loyers (charges comprises), le Bailleur pourra enregistrer le Locataire sur le Fichier des incidents locatifs.

Le Fichier des incidents locatifs a pour objectif, en France, de rassembler les données personnelles des locataires de baux d’habitation en situation d’impayés qui sont collectées par des professionnels de la gestion immobilière (administrateurs de biens, bailleurs institutionnels etc.), pour ensuite les mutualiser afin que ces mêmes professionnels puissent sélectionner les locataires de leurs clients et/ou de leurs propres biens immobiliers.

L’enregistrement du Locataire sur le Fichier des incidents locatifs se renouvellera automatiquement chaque mois jusqu’au règlement complet de l’impayé locatif.

Le Bailleur pourra enregistrer sur le Fichier des incidents locatifs uniquement les données à caractère personnel suivantes: nom, prénom, date de naissance, lieu de naissance et adresse email du Locataire ainsi que la date de l’incident de paiement.

Les professionnels Adhérents ne pourront effectuer une recherche sur le Fichier des incidents locatifs qu’en renseignant les nom, prénom, date de naissance et lieu de naissance du Locataire. Aucun accès général aux Fiches des locataires enregistrés sur le Fichier des incidents locatifs n’est possible.

Ces données seront conservées jusqu’au règlement complet de l’impayé locatif ou jusqu’à un délai maximum de 3 ans à compter de le dernier enregistrement.

Lors de son enregistrement, le Locataire recevra par email un code d’identification au Fichier des incidents locatifs de pouvoir accéder à sa Fiche Locataire sur le site www.SGIL.fr

Il est précisé que, dans le cadre de l’exécution de leurs prestations, les tiers et les autres Adhérents au Fichier des incidents locatifs n’ont qu’un accès limité aux données à caractère personnel et ont l’obligation de les utiliser conformément à la législation applicable en matière de protection des données à caractère personnel.

Les destinataires des données sont intégralement situés au sein de l’Union Européenne.

Conformément aux dispositions légales et règlementaires applicables, le Locataire bénéficie d’un droit d’accès, de rectification, de portabilité et d’effacement de ses données ou encore de limitation du traitement. Le Locataire peut également, pour des motifs légitimes, s’opposer au traitement des données le concernant. Le Locataire peut, sous réserve de la production d’un justificatif d’identité en cours de validité, exercer ses droits en contactant :

– Monsieur XXXX, numéro de téléphone, adresse email (Délégué à la protection des données de la société ARTHEL)

En cas de difficulté en lien avec la gestion de ses données à caractère personnel, le Locataire peut contacter la Commission nationale de l’informatique et des libertés (plus d’informations sur www.cnil.fr). »,

informer le locataire en situation d’impayés locatifs, avec le premier courrier de relance, du risque d’ienregistrement sur le Fichier des incidents locatifs, conformément à la clause stipulée à son contrat de bail ou à la « Fiche d’information relative à l’enregistrement sur le Fichier des incidents locatifs » qui lui a été adressée,
informer immédiatement le locataire de son enregistrement sur le Fichier des incidents locatifs par l’envoi, par courrier ou email, de la « Fiche d’enregistrement sur le Fichier des incidents de paiement » annexée aux présentes et lui transmettre dans le même temps son code d’identification au Fichier des incidents locatifs afin qu’il puisse avoir accès à sa Fiche Locataire (Annexe 2),
informer immédiatement le locataire de la suppression de son enregistrement du Fichier des incidents locatifs par l’envoi, par courrier ou email, de la « Fiche de suppression de l’enregistrement dau Fichier des incidents de paiement » annexée aux présentes (Annexe 3),

Le respect par l’Adhérent et son Utilisateur Autorisé des obligations précisées ci-dessus constitue une condition substantielle sans laquelle la société ARTHEL n’aurait pas conclu le présent Contrat. En conséquence, la société ARTHEL se réserve le droit de suspendre l’accès au Fichier des incidents locatifs et résilier le présent Contrat immédiatement dès lors que l’Adhérent et/ou ses Utilisateurs Autorisés ne respectent pas tout ou partie des obligations précisées ci-dessus, et ce sans préjudice des dommages et intérêts qui pourraient être dus à la société ARTHEL ni de toute autre voie de recours qui pourrait être exercée à l’encontre de l’Adhérent et/ou de l’Utilisateur Autorisé.

Article 6. Evolutions du service

La société ARTHEL se réserve la faculté de modifier, en cours d’exécution du présent Contrat, le contenu et le fonctionnement du Fichier des incidents locatifs.

L’Adhérent sera informé desdites évolutions par publication sur le site.

Article 7. Données à caractère personnel

Chacune des Parties s’engage à exécuter le présent Contrat dans le respect des dispositions de la réglementation relative à la protection des données à caractère personnel en vigueur et notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, « le RGPD »), ainsi que la loi dite « Informatique et Libertés » du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

Chacune des Parties s’engage à ne collecter et traiter que les données nécessaires à l’exécution du présent Contrat.

Dans le cadre de l’exécution du présent Contrat, la qualification du rôle de chacune des Parties et les obligations en découlant sont définies dans l’Annexe « Protection des données à caractère personnel : sous-traitance ».

Par ailleurs, il est entendu que ARTHEL et le client sont susceptibles de collecter en qualité de Responsable de Traitement certaines données personnelles relatives aux collaborateurs de l’autre Partie et le cas échéant des sous-traitants autorisés. Chaque Partie est informée que lesdites informations recueillies par l’autre Partie peuvent faire l’objet de traitements destinés à la gestion des Prestations et de la relation d’affaires. Ces données sont à l’usage du personnel habilité des Parties et si nécessaire duurs partenaires et prestataires ainsi que des autorités administratives et judiciaires afin de satisfaire aux obligations légales et réglementaires en vigueur. Conformément à la réglementation applicable relative à la protection des données personnelles, toute personne justifiant de son identité dispose de droits relatifs aux données qui la concernent en écrivant à l’adresse contact Délégué à la protection des données indiquée à dans l’Annexe « Protection des données à caractère personnel : sous-traitance ». Les Parties déclarent avoir dûment informé leur personnel, et le cas échéant les sous-traitants autorisés de ces dispositions légales et réglementaires.

Article 8. Responsabilité

Les engagements de la société ARTHEL constituent une obligation de moyens au terme de laquelle les prestations sont exécutées dans le strict respect des règles professionnelles en usage ainsi que conformément aux conditions du présent Contrat.

L’Adhérent déclare accepter les caractéristiques et les limites inhérentes à un service en ligne, et en particulier reconnaître :

qu’il lui appartient de prendre toutes mesures nécessaires pour s’assurer que les caractéristiques techniques de son ordinateur et/ou de son réseau informatique, lui permettent l’accès au Fichier des incidents locatifs. L’Adhérent reconnaît avoir pris connaissance des configurations minimales requises pour l’utilisation normale du Fichier des incidents locatifs ;
qu’il reconnaît être seul responsable de ses accès à Internet ;
qu’il appartient à l’Adhérent de prendre toutes les mesures appropriées de façon à protéger ses propres données et/ou logiciels de la contamination par d’éventuels virus circulant sur Internet ou contractés par tout autre moyen.

L’utilisation du Fichier des incidents locatifs et l’exploitation de ces données par l’Adhérent et/ou l’Utilisateur Autorisé se font sous sa seule responsabilité et à ses risques et périls.

L’Adhérent est seul responsable des données qu’il et/ou l’Utilisateur Autorisé inscrit sur le Fichier des incidents locatifs et conséquemment la société ARTHEL ne peut être tenue responsable des données inscrites par les autres Adhérents et ou Utilisateurs Autorisés sur le Fichier des incidents locatifs.

La responsabilité de la société ARTHEL ne peut être engagée qu’en cas de faute ou de négligence prouvée et est limitée aux préjudices directs à l’exclusion de tout préjudice indirect, de quelque nature que ce soit, notamment tout préjudice moral, commercial, de bénéfices, de chiffre d’affaires, de commandes, de revenus, de clientèle, atteinte à l’image, à la notoriété, perte de données ou toute action dirigée contre l’Adhérent par un tiers et les conséquences en résultant.

En toute hypothèse, le montant total des indemnisations et de toute somme mises à la charge de la société ARTHEL au titre de sa responsabilité ne pourra excéder le montant total du prix payé annuellement par l’Adhérent au titre du présent Contrat.

Article 9. Résiliation

En cas de manquement grave de l’une ou l’autre des Parties à ses obligations contractuelles constaté par courrier recommandé avec demande d’avis de réception valant mise en demeure d’y remédier sous un délai de préavis de quinze (15) jours, l’autre Partie aura la faculté de notifier à l’issue dudit délai et si le manquement subsiste, par courrier recommandé avec demande d’avis de réception, sa décision de résilier le présent Contrat sans préjudice des dommages et intérêts auxquels cette dernière pourra prétendre du fait des manquements constatés. Cette résiliation interviendra alors de plein droit et sans formalité à la date de réception de ladite notification de résiliation.

Article 10. Droit de rétractation

L’Adhérent étant un professionnel agissant dans le cadre et pour les besoins de sa profession, il n’y a pas lieu d’appliquer le droit de rétractation prévu par le Code de la consommation.

Article 11. Force majeure

Toutes circonstances indépendantes de la volonté des Parties, empêchant l’exécution dans des conditions normales de leurs obligations, sont considérées comme des causes d’exonération des obligations des Parties et entraînent leur suspension.

La Partie qui invoque les circonstances visées ci-dessus doit avertir immédiatement l’autre Partie de leur survenance, ainsi que de leur disparition.

Seront considérés comme cas de force majeure tous faits ou circonstances irrésistibles, extérieurs aux Parties, imprévisibles, inévitables, indépendants de la volonté des Parties et qui ne pourront être empêchés par ces dernières, malgré tous les efforts raisonnablement possibles.

Les Parties se rapprocheront pour examiner l’incidence de l’événement et convenir des conditions dans lesquelles l’exécution du présent Contrat sera poursuivie. Si le cas de force majeure a une durée supérieure à trois (3) mois, le présent Contrat pourra être résilié par la Partie lésée.

Article. 12. Imprévision

Dans la plus grande mesure permise par le droit français, chacune des Parties renonce expressément à se prévaloir des dispositions de l’article 1195 du Code civil.

Article 13. Indépendance des clauses

Si une ou plusieurs stipulations du présent Contrat devaient être tenues pour non valides ou déclarées telles en application d’une loi, d’un règlement ou à la suite d’une décision définitive d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

Article 14. Confidentialité

Les Parties s’engagent, pendant toute la durée du présent Contrat et après son terme sans limitation de durée, à ne divulguer aucune des informations, connaissances ou savoir-faire auquel elles auraient pu avoir accès dans le cadre de l’exécution du présent Contrat.

Article 15. Tolérance

Le fait pour la société ARTHEL de ne pas se prévaloir d’un manquement par l’Adhérent à l’une quelconque des obligations visées dans le présent Contrat ne saurait être interprété pour l’avenir comme une renonciation à l’obligation en cause ou à toute action en responsabilité.

Article 16. Loi applicable

Le présent Contrat est soumis à l’application du droit français.

Les Parties s’engagent à rechercher une solution amiable à tout différend qui pourrait naître de l’exécution du présent Contrat.

Si elles n’y parviennent pas, les Parties soumettront le litige au tribunal judiciaire de Paris.

Pour l’exécution du présent Contrat, les Parties conviennent de faire élection de domicile à leur siège social respectif.

ANNEXE I : Protection des données à caractère personnel : sous-traitance

1. Objet

Dans le cadre de l’exécution du présent Contrat, ARTHEL réalise ou est susceptible de réaliser des opérations de Traitement de Données à caractère personnel listées à l’annexe II en qualité de Sous-traitant, pour le compte du client agissant en qualité de Responsable de Traitement.

Les présentes clauses s’appliquent au traitement des données à caractère personnel tel que décrit à l’annexe II. Les annexes I à IV font partie intégrante des clauses.

Les présentes clauses sont sans préjudice des obligations auxquelles le Responsable de traitement est soumis en vertu du règlement Général sur la Protection des Données (UE) 2016/679 ci-après « RGPD ».

Les clauses ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du RGPD.

2. Définitions et interprétation

Lorsque des termes définis respectivement dans le RGPD figurent dans les clauses, ils s’entendent comme dans le règlement en question.

Les dispositions de la présente clause doivent être lues et interprétées à la lumière des dispositions du RGPD. Elles ne doivent pas être interprétées d’une manière contraire aux droits et obligations prévus par le RGPD ou d’une manière qui porte atteinte aux libertés ou droits fondamentaux des personnes concernées.

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes qui existent entre les Parties au moment où les présentes clauses sont convenues ou qui sont conclus ultérieurement, les présentes clauses prévaudront.

3. Description du ou des traitements

Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du Responsable de traitement, sont précisés à l’annexe II.

4. Instructions

Le Sous-traitant ne traite les données à caractère personnel que sur instruction documentée du Responsable de traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le Sous-traitant informe le Responsable de traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Responsable de traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Le Sous-traitant informe immédiatement le Responsable de traitement si, selon lui, une instruction donnée par le Responsable de traitement constitue une violation du RGPD ou d’autres dispositions relatives à la protection des données.

5. Limitation de la finalité

Le Sous-traitant traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, telles que définies à l’annexe II, sauf instruction complémentaire du Responsable de traitement.

6. Durée du traitement des données à caractère personnel

Le traitement par le Sous-traitant n’a lieu que pendant la durée précisée à l’annexe II.

7. Sécurité du traitement

Le Sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles précisées à l’annexe III pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé à de telles données (violation de données à caractère personnel).

Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

Le Sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du Contrat.

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

8. Documentation et conformité

Le Sous-traitant s’engage à démontrer sa conformité avec les dispositions prévues dans la présente clause.

Le Sous-traitant traite de manière rapide et adéquate les demandes du Responsable de traitement concernant le traitement des données conformément aux présentes clauses.

Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et découlant directement du RGPD.

À la demande du Responsable de traitement, le Sous-traitant permet également la réalisation d’audits des activités de traitement couvertes par les présentes clauses et y contribue, à intervalles raisonnables ou en présence d’indices de non-conformité. Lorsqu’il décide d’un examen ou d’un audit, le Responsable de traitement peut tenir compte des certifications pertinentes en possession du Sous-traitant.

Le Responsable de traitement peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques du Sous-traitant et sont, le cas échéant, effectués moyennant un préavis raisonnable.

Les Parties conviennent que le Responsable de Traitement pourra, dans la limite d’une fois par an, également faire procéder à un audit sur site des conditions de réalisation parle Sous-traitant des Traitements listés en Annexe II.

Le Responsable de traitement devra aviser le Sous-traitant par écrit de son intention de faire procéder à un audit, moyennant le respect d’un préavis minimum de 15 jours ouvrés.

Préalablement à la réalisation d’un tel audit sur site, le Responsable de traitement et le Sous-traitant devront convenir de son étendue, son calendrier et sa durée.

Les coûts d’audits seront avancés par le Responsable de traitement.

Dans l’hypothèse où le rapport d’audit ferait apparaître un non-respect substantiel des obligations du Sous-traitant visées au sein du présent Contrat, le Sous-traitant s’engage à prendre à sa charge les coûts d’audit engagés par le Responsable de traitement et à mettre en œuvre, à ses frais, les mesures correctives nécessaires dans un délai à convenir entre les Parties en fonction de la gravité des manquements et/ou non-conformités et/ou des risques qu’ils font peser sur les personnes.

Au cas où le rapport d’audit ne ferait apparaître aucun non-respect substantiel des obligations du Sous-traitant visées au sein du présent Contrat, le Responsable de traitement conserverait à sa charge les coûts d’audit.

Les Parties mettent à la disposition de l’autorité de contrôle compétente, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.

9. Recours à des Sous-traitants ultérieurs

Le Sous-traitant dispose de l’autorisation générale du Responsable de traitement pour ce qui est du recrutement de Sous-traitants ultérieurs sur la base d’une liste convenue.

Le Sous-traitant n’est pas tenu d’informer par écrit le Responsable de traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de Sous-traitants ultérieurs. Le Sous-traitant fournit au Responsable de traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

Lorsque le Sous-traitant recrute un Sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du Responsable de traitement), il le fait au moyen d’un Contrat qui impose au Sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au Sous-traitant en vertu des présentes clauses. Le Sous-traitant veille à ce que le Sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du RGPD.

À la demande du Responsable de traitement, le Sous-traitant lui fournit une copie de ce Contrat conclu avec le Sous-traitant ultérieur et de toute modification qui y est apportée ultérieurement. Dans la mesure nécessaire à la protection des secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, le Sous-traitant peut expurger le texte du Contrat avant d’en diffuser une copie.

Le Sous-traitant demeure pleinement responsable, à l’égard du Responsable de traitement, de l’exécution des obligations du Sous-traitant ultérieur conformément au Contrat conclu avec le Sous-traitant ultérieur. Le Sous-traitant informe le Responsable de traitement de tout manquement du Sous-traitant ultérieur à ses obligations contractuelles.

Le Sous-traitant s’engage à convenir avec le Sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle — dans le cas où le Sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le Responsable de traitement a le droit de résilier le Contrat conclu avec le Sous-traitant ultérieur et de donner instruction au Sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

11. Transferts internationaux

Tout transfert de données vers un pays tiers ou une organisation internationale par le Sous-traitant n’est effectué que sur la base d’instructions documentées du Responsable de traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union et s’effectue conformément au chapitre V du RGPD.

Le Responsable de traitement convient que lorsque le Sous-traitant recrute un Sous-traitant ultérieur conformément à la clause.

.10 pour mener des activités de traitement spécifiques (pour le compte du Responsable de traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du RGPD, le Sous-traitant et le Sous-traitant ultérieur peuvent garantir le respect du chapitre V du RGPD en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du RGPD, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies. Le sous-traitant doit également être en mesure de fournir au Responsable de traitement l’analyse d’impact du transfert des données personnelles hors de l’UE.

12. Information des personnes

Il appartient au Responsable de traitement de fournir l’information aux Personnes concernées par les opérations de Traitement au moment de la collecte des Données à caractère personnel.

Il appartient à ARTHEL de fournir aux Personnes Concernées les informations idoines sur :
– le fait que toute demande d’exercice des Droits des Personnes Concernées doit être adressée à l’Adhérent. Et ce préalablement à, ou au plus tard au moment de la collecte des Données, quel que soit le mode de ladite collecte.

Il appartient au client de donner aux Personnes Concernées un droit d’accès, de rectification, d’effacement et d’opposition, un droit à la limitation du Traitement, un droit à la portabilité des Données, le droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage) (ci-après les « Droits des Personnes Concernées »).

Les Parties sont convenues de se rapporter aux définitions des Droits des Personnes Concernées telles que figurant aux Articles 15 à 22 du RGPD.

ARTHEL déclare et garantit que la Plateforme SGIL permet au client d’exécuter les opérations permettant de donner des suites (les « Réponses ») conformes à la Réglementation à l’exercice de tous les Droits des Personnes Concernées.

Les demandes d’exercice des Droits des Personnes Concernée (les « Demandes d’Exercice ») doivent être adressées au client.

Si ARTHEL reçoit une Demande d’Exercice, il doit la transmettre au client dans un délai de 8 jours ouvrés de manière à permettre à ce dernier de respecter le Délai de Réponse.

ARTHEL ne peut être tenu à produire une Réponse qu’en application d’un accord conjoint exprès et écrit des Parties. Dans un tel cas, ARTHEL doit adresser la Demande d’Exercice de manière à permettre à l’Adhérent de respecter le Délai de Réponse.

13. Assistance au Responsable de traitement

Le Sous-traitant informe sans délai le Responsable de traitement de toute demande qu’il a reçue de la part de la personne concernée. Il ne donne pas lui-même suite à cette demande, à moins que le Responsable de traitement des données ne l’y ait autorisé.

Le Sous-traitant prête assistance au Responsable de traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. Dans l’exécution de ses obligations, le Sous-traitant se conforme aux instructions du Responsable de traitement.

Le Sous-traitant aide en outre le Responsable de traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant :

(1) l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel (« analyse d’impact relative à la protection des données ») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ;

(2) l’obligation de consulter l’autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le Responsable de traitement ne prenait pas de mesures pour atténuer le risque ;

(3) l’obligation de veiller à ce que les données à caractère personnel soient exactes et à jour, en informant sans délai le Responsable de traitement si le Sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes sont devenues obsolètes ;

(4) les obligations prévues à l’article 32 du RGPD et aux articles 33 et 36 à du RGPD.

Les mesures techniques et organisationnelles appropriées par lesquelles le Sous-traitant s’engage à prêter assistance au Responsable de traitement dans l’application de la présente clause, ainsi que la portée et l’étendue de l’assistance requise sont définies à l’annexe III.

14. Registre de traitement du Sous-traitant

Le Sous-traitant s’engage à satisfaire à son obligation de transparence et de traçabilité en tenant notamment par écrit un registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de Traitement, comprenant :

le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, et, le cas échéant, d’éventuels Sous-traitants ultérieurs et/ou du délégué à la protection des Données (« DPD ») ;
les catégories de Traitements effectués pour le compte du Responsable de Traitement ;
– le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, alinéa 2 du RGPD, les documents attestant de l’existence de garanties appropriées;
– dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour garantir la sécurité des Données à caractère personnel ainsi que leur Traitement, y compris entre autres, selon les besoins :

la pseudonymisation et le chiffrement des Données à caractère personnel ;
des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement ;
des moyens permettant de rétablir la disponibilité des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

Le registre se présentera sous une forme écrite et électronique.

Le Sous-traitant mettra le registre à la disposition de l’Autorité de contrôle, sur demande.

15. Notification de violations de données à caractère personnel

En cas de violation de données à caractère personnel, le Sous-traitant s’engage à coopérer avec le Responsable de traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, selon celui qui est applicable, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.

Violation de données en rapport avec des données traitées par le Responsable de traitement

En cas de violation de données à caractère personnel en rapport avec des données traitées par le Responsable de traitement, le Sous-traitant prête assistance au Responsable de traitement :

aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente/aux autorités de contrôle compétentes, dans les meilleurs délais après que le Responsable de traitement en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques) ;
aux fins de l’obtention des informations suivantes qui, conformément à l’article 33 du RGPD doivent figurer dans la notification du Responsable de traitement, et inclure, au moins :

(1) la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

(2) les conséquences probables de la violation de données à caractère personnel ;

(3) les mesures prises ou les mesures que le Responsable de traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais ;

(iii) aux fins de la satisfaction à l’article 34 du RGPD de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel à la personne concernée, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Violation de données en rapport avec des données traitées par le Sous-traitant

En cas de violation de données à caractère personnel en rapport avec des données traitées par le Sous-traitant, celui-ci en informe le Responsable de traitement dans un délai de 72h après en avoir pris connaissance. Cette notification contient au moins :

(1) une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d’enregistrements de données à caractère personnel concernés) ;

(2) les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;

(3) ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

16. Responsabilité et résiliation

Le Sous-traitant garantit le Responsable de traitement de tout préjudice résultant pour lui d’un manquement de sa part à ses obligations propres prévues par ou découlant de la présente clause et/ou du RGPD y compris tout manquement de ses affiliés ou Sous-traitants Ultérieurs. A ce titre, le Sous-traitant s’engage en particulier à tenir le Responsable de traitement indemne de toute action, contestation, réclamation ou plainte d’un quelconque tiers, ainsi que de toute sanction ou condamnation d’une quelconque autorité ou juridiction, qui aurait pour origine, cause ou fondement un tel manquement de sa part à ses obligations propres prévues par ou découlant de la présente clause ou du RGPD.

Le Sous-traitant reconnait expressément que les éventuelles limitations ou exclusions de responsabilité prévues dans le Contrat de Prestation de service ne s’appliqueront en aucun cas aux dommages subis par Le Responsable de traitement résultant d’un quelconque manquement par le Sous-traitant à la présente Clause. Ces dommages incluent notamment, mais sans s’y limiter, les éventuelles sanctions ou condamnations subies par le Sous-traitant ayant pour origine ou pour fondement un manquement du Sous-traitant à ses obligations propres au titre de la présente clause ou du RGPD.

Sans préjudice des dispositions du RGPD, en cas de manquement du Sous-traitant aux obligations qui lui incombent en vertu des présentes clauses, le Responsable de traitement peut donner instruction au Sous-traitant de suspendre le traitement des données à caractère personnel jusqu’à ce que ce dernier se soit conformé aux présentes clauses ou jusqu’à ce que le Contrat soit résilié. Le Sous-traitant informe rapidement le Responsable de traitement s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.

Le Responsable de traitement est en droit de résilier le Contrat dans la mesure où il concerne le traitement de données à caractère personnel conformément aux présentes clauses si :

(1) le traitement de données à caractère personnel par le Sous-traitant a été suspendu par le Responsable de traitement conformément au point a) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;

(2) le Sous-traitant est en violation grave ou persistante des présentes clauses ou des obligations qui lui incombent en vertu du RGPD ;

(3) le Sous-traitant ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente/des autorités de contrôle compétentes concernant les obligations qui lui incombent en vertu des présentes clauses ou du RGPD.

Le Sous-traitant est en droit de résilier le Contrat dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses lorsque, après avoir informé le Responsable de traitement que ses instructions enfreignent les exigences juridiques applicables conformément à la clause __.4 le Responsable de traitement insiste pour que ses instructions soient suivies.

17. Sort des données à la fin du Contrat

Le Sous-traitant s’engage, à l’issue du Traitement et au plus tard à l’expiration du Contrat pour quelque raison que ce soit, à supprimer toutes les Données à caractère personnel ou à les renvoyer au Responsable de Traitement, selon le choix de ce dernier, ainsi qu’à détruire les copies existantes, à moins que la conservation desdites Données à caractère personnel au-delà de la durée du Contrat soit justifiée par des dispositions légales ou réglementaires applicables auxdites Données à caractère personnel et/ou à la conservation de la preuve dans le cadre de tout litige, judiciaire ou extra judiciaire, directement ou indirectement lié à l’exécution des obligations d’une Partie au titre du présent Contrat.

18. Obligations du Responsable de traitement

Le Responsable de traitement s’engage à :

fournir au Sous-traitant les Données à caractère personnel visées au Contrat ;
documenter par écrit toute(s) instruction(s) concernant le traitement des Données à caractère personnel par le Sous-traitant ;
veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
superviser le Traitement, y compris par la réalisation d’audits et d’inspections auprès du Sous-traitant.

Coordonnées des contacts référents RGPD

Responsable du traitement :

Nom : [A COMPLETER]

Coordonnées : [A COMPLETER]

Délégué à la Protection des Données du Responsable du traitement :

Nom : [A COMPLETER]

Coordonnées : [A COMPLETER]

Sous-traitant :

Nom : ARTHEL

Coordonnées : [A COMPLETER]

Délégué à la Protection des Données du Sous-traitant :

Nom : DPO Consulting

Coordonnées : dpo@sgil.fr

ANNEXE II : Description du traitement

Catégories de personnes concernées dont les données à caractère personnel sont traitées	Les salariés et/ou les employés des professionnels de l’immobilier Les locataires ayant rencontrés des incidents de paiement
Catégories de données à caractère personnel traitées	Données d’identification : état civil, nom, nom d’usage, nom de jeune fille, prénom(s) adresse email, numéro de téléphone, date et lieu de naissance, Données bancaires et financière dont les historiques des règlements au profit du client (données de facturation, les dettes et/ou impayés, les échéances de paiements), RIB Données relatives à la vie professionnelle : la situation professionnelle, le poste, la fonction, matricule, etc Données de gestion telles que des références de dossiers, des numéros de contrats, des titres, des contenus, des noms de dossier, ou des informations liées à un document, telles que des dates d’alertes et de rappel ou encore des informations spécifiquement liées à la relation que vous entretenez avec nos clients. Données de connexion et de navigation Données relatives aux personnes morales : Nom de l’établissement, adresse postale, SIRET ou SIREN ainsi que tous documents prouvant votre activité de professionnel de l’immobilier.
Les données sensibles traitées (le cas échéant) et les limitations ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, la limitation stricte de la finalité, les restrictions des accès (y compris l’accès réservé uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.	Non concerné
Nature du traitement	Création, mise à jour, suppression, historisation des contacts ; Génération des courriers et courriels de gestion automatique ; Accompagne, maintenance et conseils
Finalité(s) pour laquelle (lesquelles) les données à caractère personnel sont traitées pour le compte du Responsable de traitement	Partage d’expertises/conseils ; Accès et mise à disposition de la Plateforme SGIL Assistance au client pour l’utilisation de la Plateforme ; Maintenance de la Plateforme SGIL ; Hébergement des bases de données du client dans la Plateforme SGIL et mise à disposition d’une base de données contacts.
Durée du traitement	Durée du contrat.

ANNEXE III : Mesure de sécurité

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par le Sous-traitant (y compris toute certification pertinente) visant à garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Contrôle d’accès physiques aux sites et installations utilisés pour les Prestations

Objectif : prévenir l’accès non autorisé aux sites et installations utilisés pour/dans le(s) traitement(s) de données

☐ Dispositif anti-intrusion (verrouillage des portes, alarmes anti-intrusion)

☐ Alimentation électrique de secours garantie des dispositifs physiques de sécurité

☐ Dispositif d’authentification à l’entrée des sites (badge, clé, etc.)

☐ Procédure d’octroi/retrait des dispositifs d’authentification à l’entrée des sites

☐ Stockage des supports de sauvegarde dans un lieu sécurisé

☐ Vidéosurveillance

☐ Service de gardiennage 24/7

☐ Terminaux mobiles rangés dans un lieu sécurisé en dehors des heures de travail

☐ Modalités d’accès spécifiques pour les visiteurs (registre, badge temporaire, etc.)

☐ Certification des datacenters

☐ Mesures de restriction d’accès supplémentaires aux espaces techniques critiques

Salles fermées à clé
Vidéosurveillance avec/sans enregistrement
Badge avec habilitation spécifique justifié par un besoin professionnel légitime

☐ Politique d’accompagnement des visiteurs dans les locaux

☐Environnement de travail chez le prestataire dédié au client (zone dédiée) avec contrôles d’accès spécifique

Badge avec habilitation d’accès spécifique
Journalisation de l’activité des badges
Isolement (au sein d’une zone dédiée) des collaborateurs travaillant sur des applications / sujets sensibles

Contrôles d’accès logique aux systèmes et outils utilisés pour les Prestations

Objectif : prévenir l’accès non autorisé aux systèmes IT sur lesquels sont traités les données

☐ Journalisation des accès aux systèmes IT

☐ Identification des utilisateurs via des comptes utilisateurs nominatifs

☐ Limitation du nombre de tentatives d’accès à un compte (blocage du compte utilisateur)

☐ Politique robuste de mot de passe (utilisateurs/administrateurs)

☐Politique d’accès aux systèmes IT avec procédure de gestion des habilitations et revue régulière

☐ Accès aux systèmes IT uniquement après authentification à double facteur

☐ Sécurisation de l’accès distant aux systèmes IT (VPN, authentification forte, etc.)

☐ Sécurisation du réseau sans fil par le protocole WPA2 ou WPA2-PSK

☐ Terminaux mobiles protégés par chiffrement

☐ Verrouillage automatique des sessions en cas d’inactivité

☐ Mise à jour régulière (automatique ou manuelle) des antivirus et pare-feu

☐ Installation des mises à jour critiques des systèmes d’exploitation sans délai

☐ Installation des mises à jour des applications en cas de faille critique

☐ Procédure d’oubli de mot de passe obligatoire et auditable

☐ Console spécifique d’administration des serveurs sécurisée

☐ SIEM / SOC

☐ Sécurité des interfaces inter-applications (authentification, chiffrement…)

Contrôle de l’accès aux données du Client

Objectif : prévenir tout accès et activité illicite/non autorisé sur les données

☐ Pseudonymisation

☐ Accès restreint aux données aux seules personnes justifiant d’un besoin opérationnel

☐ Accès justifié par un ticket d’assistance ouvert par le Client

☐ Enregistrement des connexions et accès aux données

☐ Formalisation des habilitations d’accès dans une politique

Mesures relatives à la sécurité des transmissions de données

Objectifs : assurer une transmission sécurisée des données et prévenir toute transmission non autorisée

☐Chiffrement des données transmises par internet (chiffrement des courriels, connexion sécurisée en transit par cryptage SSL)

☐ Accès à distance via une connexion VPN

Mesures relatives au contrôle de l’intégrité des données

Objectif : protéger les données contre toute altération et assurer la traçabilité de toute saisie, modification et suppression de données

☐ Journalisation de l’activité des administrateurs systèmes

☐ Journalisation de l’activité des utilisateurs des outils de traitement de données personnelles

☐ Journaux collectés et monitorés par le Cyber SOC, avec scénarios suspects définis

☐ Effacement des données sur les matériels mis au rebut

Mesures relatives à la disponibilité de la Solution et des données

Objectif : prévenir toute perte/destruction, même momentanée, des données, que ce soit accidentel ou intentionnel

☐ Sauvegarde régulière des données avec contrôle de réalisation et de vérification des sauvegardes

☐ Procédure de restauration de sauvegarde avec test régulier

☐ Stockage des supports de sauvegarde sur un site extérieur

☐ Sécurisation des installations technique

Alimentation UPS avec onduleurs
Détecteurs de fumée
Contrôle de la température

☐ Utilisation conforme et à l’état de l’art de solutions de protection des systèmes

☐ Plan de continuité d’activité avec test régulier

☐ Plan de reprise d’activité avec test régulier

Mesures relatives à la séparation des données du Client

Objectifs : Séparer les données afin d’éviter la propagation d’un éventuel incident à d’autres bases de données ou fichiers

☐ Segmentation logique/physique des données

☐ Sandboxing

Mesures relatives à la sécurité des développements

Objectifs : Éviter une violation de données personnelles en utilisant des données fictives pour effectuer les tests et développement d’applications.

☐ Test de développements informatiques sur des données fictives ou anonymisées

☐Formation des développeurs aux principes de la protection des données par défaut et dès la conception et à la sécurité des environnements de développement et recette

☐ Charte de la sécurité dans les développements

☐ Revue de code

☐ Environnements dédiés de développement et test / pré-production

☐ Anonymisation des bases de données de test et recette

Mesures organisationnelles

☐Procédure de test, d’analyse et d’évaluation de l’efficacité des mesures techniques et organisationnelles (test d’intrusion, scans de vulnérabilité internes et externes, etc.)

☐ Procédure de gestion des incidents de sécurité et de violations de données personnelles

☐ Politique de sécurité formalisée

☐ Charte informatique avec une valeur contraignante pour les salariés

☐ Sensibilisation des utilisateurs à la sécurité

☐Formation des collaborateurs amenés à travailler sur le(s) traitement(s) de données confié(s) au prestataire

☐ Évaluation régulière des Sous-traitants ultérieurs et leurs mesures de sécurité

☐ Plan d’assurance sécurité

☐ Charte informatique administrateur

☐Le Contrat avec des tiers inclut des clauses de sécurité, des SLA, et les clauses adéquates en matière de protection des données personnelles

ANNEXE IV : Liste des Sous-traitants ultérieurs

La présente annexe doit être complétée en cas d’autorisation spécifique de Sous-traitants ultérieurs

Le Responsable de traitement a autorisé le recours aux Sous-traitants ultérieurs suivants :

	Nom	Adresse	Nom, fonction et coordonnées de la personne de contact	Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs Sous-traitants ultérieurs sont autorisés)
1
2
3
4