Conditions générales d'utilisation du logiciel uhub.io

Les conditions d'utilisation ci-dessous ("Conditions") sont importantes pour les raisons suivantes :

• Elle définit vos droits envers momou ag.

• Elle explique les droits que vous nous accordez lors de l'utilisation de notre service uhub.io.

• Elle régit la manière dont les éventuels litiges seront réglés par arbitrage.

1. Préambule

La momou ag (prestataire) traite pour le client (donneur d'ordre) conformément au contrat existant entre ces parties (voir section 4, objet) ("Contrat de service") des données personnelles. Les parties reconnaissent que le règlement (UE) 2016/679 (Règlement général sur la protection des données "RGPD") peut s'appliquer au traitement des données convenu (comme par exemple lors du traitement de données personnelles de personnes résidant dans l'UE). Par conséquent, les parties conviennent que le traitement des données personnelles sera effectué sur la base du présent contrat de traitement ("CCT"), qui prend en compte les dispositions du RGPD. Le traitement des données doit également garantir le respect des règles suisses en matière de protection des données conformément à la loi sur la protection des données (LPD), sauf dans la mesure où elles sont déjà satisfaites par le respect des exigences du RGPD.

2. Objet

L'objet du contrat découle des performances du produit uhub ("Description des services") :

uhub est un logiciel en ligne (logiciel cloud) qui est indépendant du système d'exploitation et de la plateforme et qui est opérationnel via un navigateur. uhub est un logiciel de gestion de communication qui permet à une organisation de traduire sa stratégie de communication en activités de communication intégrées - spécifiques au public cible, inter-équipes et inter-canaux. De la planification stratégique à la mise en œuvre opérationnelle, tout se trouve au même endroit. La numérisation du processus de communication aide, à un niveau stratégique, à prendre des décisions, à les présenter, à les discuter le cas échéant et enfin à les mettre en œuvre. À un niveau opérationnel, uhub soutient la planification des activités de communication conforme à la stratégie. Les contenus sont structurés et enregistrés en fonction des publics cibles et des canaux. Selon les possibilités du canal, la publication se fait de manière automatisée ou manuelle. 

Le client reçoit une licence SaaS non exclusive et non transférable pour l'utilisation de uhub.io pendant la durée du contrat.

momou ag garantit une disponibilité de 99,5 % en moyenne mensuelle (hors fenêtres de maintenance planifiées) et répond aux tickets de support dans un délai d'un jour ouvrable.

Le client est interdit d'utiliser le service pour diffuser des contenus illégaux, d'envoyer des spams ou pour des attaques DoS.

3. Durée

Le contrat est établi pour une durée indéterminée et peut être résilié par les deux parties à tout moment à la fin du mois avec un préavis d'un mois. Si l'option « Paiement annuel » est choisie, le contrat peut être résilié avec le même préavis à la fin de la période annuelle en cours. Après chaque période, il sera automatiquement prolongé de 12 mois, sauf résiliation dans les délais requis. La possibilité de résiliation immédiate pour un motif important reste inchangée.
Les conditions de paiement et de relance sont détaillées au point 4.

4. Conditions de paiement et relance

Délai de paiement
Les factures sont payables dans les 15 jours suivant la date de facturation sans aucun rabais.

Retard
Si le client est en retard après l'expiration du délai de paiement (art. 102 al. 1 CO), il doit à partir du jour suivant un intérêt de retard de 5 % par an conformément à l'art. 104 CO.

Niveaux de relance
a) Première relance – effectuée automatiquement avec le retard ; nouveau délai de paiement 10 jours ; frais de relance CHF 20.–.

b) Deuxième relance – en cas de non-paiement ; délai supplémentaire 10 jours ; frais de relance supplémentaires CHF 40.–.

c) Recouvrement – si la créance reste impayée par la suite, momou ag peut céder la créance à un bureau de recouvrement sans préavis supplémentaire ; tous les coûts en résultant seront à la charge du client.

Suspension de l'accès
momou ag est autorisée à suspendre l'accès à uhub.io jusqu'à ce que tous les montants dus soient entièrement réglés.

Compensation & Retenue
Les compensations du client ne sont autorisées qu'avec des créances dûment établies ou reconnues par écrit par momou ag. Un droit de retenue est exclu.

5. Précision de l'objet du contrat

a) Type et but du traitement prévu des données

L'objet du contrat pour la gestion des données est la réalisation des tâches suivantes par le prestataire : stockage des données pour fournir les services conformément à la description des services et au contrat de service.

La fourniture du traitement des données convenu contractuellement a lieu en Suisse. Un niveau de protection des données adéquat a été déterminé par la Commission européenne dans une décision formelle pour la Suisse : 2000/518/CE.

b) Type des données

Le prestataire n'effectue lui-même aucun traitement actif de données personnelles. L'accès aux données n'est accordé que pour corriger des erreurs conformément aux CGV. Dans le cadre de cette correction, il est possible que le prestataire ait accès aux données du donneur d'ordre. Cela peut également affecter des données personnelles.

Le donneur d'ordre confirme que les types de données personnelles suivants, non exhaustifs, peuvent faire l'objet d'un traitement.

• Clients

• Intéressés

• Employés

• Fournisseurs

c) Droit d'audit
Le client peut effectuer annuellement un audit des processus de sécurité et de protection des données de momou ag ou se les faire effectuer par des tiers. momou ag soutien les audits pendant les heures d'ouverture habituelles ; les coûts dépassant 2 heures par an seront facturés au tarif horaire de CHF 180.00.

6. Mesures techniques / organisationnelles

Le prestataire a mis en place les mesures techniques et organisationnelles nécessaires avant le début du traitement.

Le prestataire a assuré la sécurité conformément à l'art. 28 al. 3 let. c, 32 RGPD, notamment en relation avec l'art. 5 al. 1, al. 2 RGPD. Dans l'ensemble, les mesures à prendre concernent la sécurité des données et la garantie d'un niveau de protection adéquat au risque en ce qui concerne la confidentialité, l'intégrité, la disponibilité ainsi que la résistance des systèmes. À cela s'ajoutent la technologie disponible, les coûts de mise en œuvre et le type, l'étendue et les objectifs du traitement ainsi que les différentes probabilités d'occurrence et la gravité du risque pour les droits et libertés des personnes physiques au sens de l'art. 32 al. 1 RGPD.

Les mesures techniques et organisationnelles sont soumises à l'évolution technique et au progrès. En ce sens, le prestataire est autorisé à mettre en œuvre des mesures alternatives adéquates. L'intégrité du niveau de sécurité des mesures définies ne doit pas être inférieure. Les modifications substantielles doivent être documentées.

En cas d'intérêt, la documentation des mesures techniques et organisationnelles peut être demandée par e-mail à privacy@uhub.io.

7. Rectification, limitation et suppression des données

Le prestataire ne peut corriger, supprimer ou limiter la transformation des données traitées au nom du donneur d'ordre que sur instruction documentée. Dans la mesure où une personne concernée demande cela directement au prestataire, celui-ci transmettra cette demande sans délai au donneur d'ordre.

Dans la mesure où les prestations incluent un concept de suppression, le droit à l'oubli, la rectification, la portabilité des données et le droit d'accès doivent être garantis directement par le donneur d'ordre. Le prestataire assiste le donneur d'ordre moyennant rémunération dans la fourniture de ces services.

Les demandes des personnes concernées en vertu des art. 15 à 20 RGPD ou de l'art. 25 nLDP seront répondues ou mises en œuvre dans un délai de 30 jours calendaires.

8. Assurance qualité et autres obligations du prestataire

Le prestataire a, en plus du respect des réglementations de ce contrat, des obligations légales selon les articles 28 à 33 RGPD ; il garantit notamment le respect des exigences suivantes :

a)     Le prestataire n'est pas tenu de désigner un délégué à la protection des données selon le RGPD. En tant que contact, Olivier Fuchs, uhub.io ag, Neuengasse 41, 3011 Bern, Suisse est désigné. Cette personne peut être jointe à privacy@uhub.io.

b)    Le respect de la confidentialité conformément à l'art. 28 al. 3 phrase 2 let. b, 29, 32 al. 4 RGPD. Le prestataire n'emploie que des employés qui sont tenus à la confidentialité et qui ont été préalablement informés des dispositions relatives à la protection des données qui les concernent.

c)     L'implémentation et le respect de toutes les mesures techniques et organisationnelles nécessaires pour ce contrat conformément à l'art. 28 al. 3 phrase 2 let. c, 32 RGPD.

d)    Dans la mesure où le donneur d'ordre est lui-même soumis à un contrôle de l'autorité de surveillance, une procédure de constatation d'infraction ou pénale, une demande de responsabilité d'une personne concernée ou d'un tiers, ou toute autre demande en rapport avec le traitement par le prestataire, le prestataire s'engage à lui apporter sa meilleure assistance. Le prestataire a droit à une rémunération basée sur les efforts fournis pour cette assistance.

e)    Le prestataire contrôle régulièrement les processus internes ainsi que les mesures techniques et organisationnelles afin de garantir que le traitement dans son domaine de responsabilité est effectué conformément aux exigences de la législation sur la protection des données applicable et que les droits des personnes concernées sont protégés.

f)      La traçabilité des mesures techniques et organisationnelles prises est assurée pour le donneur d'ordre dans le cadre de ses prérogatives de contrôle selon le chiffre 8 de ce contrat.

g)    En cas de violation de la protection des données personnelles, momou ag informe le client par écrit au plus tard 72 heures après en avoir pris connaissance.

9. Sous-traitance

Les sous-traitants au sens de cette règle sont des services directement liés à la fourniture de la prestation principale. Ne sont pas inclus les services connexes que le prestataire utilise, par exemple, sous forme de services de télécommunications, de services postaux/de transport, de maintenance et de service à la clientèle ou d'élimination de supports de données ainsi que de toute autre mesure visant à garantir la confidentialité, la disponibilité, l'intégrité et la robustesse des systèmes matériels et logiciels des installations de traitement de données. Le prestataire prend des dispositions contractuelles adéquates et conformes à la loi pour garantir la protection et la sécurité des données des données du donneur d'ordre même pour des services auxiliaires externalisés.

Les sous-traitants et sous-sous-traitants suivants sont impliqués dans la fourniture des services :

a) Google LLC (anciennement connu sous le nom de Google Inc.)
1600 Amphitheatre Parkway, Mountain View, Californie 94043 États-Unis
Délégué à la protection des données :
support.google.com/cloud/contact/dpo
Services : Fournisseur de cloud hosting
Lieu de traitement (adresse) : Zurich (europe-west6), Suisse

b) maatoo.io
Délégué à la protection des données : support@maatoo.io
Services : Automatisation du marketing
Lieu de traitement (adresse) : Nelocom GmbH, Buchmattstrasse 11, 3400 Burgdorf

c) Exoscale
Route de Marcolet 39. 1023 Crissier, Suisse
Délégué à la protection des données : privacy@exoscale.ch
Services : Fournisseur de cloud hosting
Lieu de traitement (adresse) : Eielen fort DKII, Attingshausen, Suisse

d) Chatlio LLC
1329 N 47TH ST #31231, Seattle, WA 98103 États-Unis
Délégué à la protection des données : privacy@chatlio.com
Services : Service de chat pour soutenir les responsables

e) Slack Technologies
500 Howard Street, San Francisco, CA 94105, États-Unis
Délégué à la protection des données : dpo@slack.com
Services : Solution de collaboration par chat pour centraliser la communication de support
Lieu de traitement (adresse) : Slack Technologies, 500 Howard Street, San Francisco, CA 94105, États-Unis

f) Usetiful
Usetiful, Sepapaja tn 6, 15551 Tallinn, Estonie
Délégué à la protection des données : info@usetiful.com
Services : Plateforme d'adoption numérique

g) Posthog
PostHog Inc, 2261 Market Street #4008, San Francisco, CA 94114
Délégué à la protection des données : privacy@posthog.com
Services : Analyse de produit

h) OpenAI
OpenAI, L.L.C. 3180 18th Street, San Francisco, Californie 94110, États-Unis
Délégué à la protection des données : dsar@openai.com
Services : Assistant IA

j) TikTok
TikTok. Culver City, 5800 Bristol Pkwy
Contact protection des données : https://www.tiktok.com/legal/report/privacy
Services : Réseau social

k) Facebook
Menlo Park, 1 Hacker Way, États-Unis
Protection des données : https://www.facebook.com/privacy/policy/
Services : Réseau social

l) Instagram
Menlo Park, 1 Hacker Way, États-Unis
Protection des données : https://about.instagram.com/safety/privacy
Services : Réseau social

m) Youtube
San Bruno, 901 Cherry Ave, États-Unis
Protection des données : https://www.youtube.com/howyoutubeworks/user-settings/privacy/
Services : Réseau social

n) X Corporation
Mountain View, 1600 Amphitheatre Pkwy, États-Unis
Protection des données : https://twitter.com/en/privacy
Services : Réseau social

o) Linkedin
1000 W Maude Ave Sunnyvale, CA 94085
Protection des données : https://www.linkedin.com/legal/privacy-policy
Services : Réseau social

Les sous-traitants fournissent des services auxiliaires nécessaires en rapport avec la prestation principale, qui sont nécessaires au bon fonctionnement de la solution conformément au contrat. Le donneur d'ordre en prend connaissance et accepte expressément l'attribution des tâches décrites.

Si le sous-traitant fournit le service convenu en dehors de l'UE/EEE ou de la Suisse, le prestataire garantit la légalité de la protection des données par les mesures appropriées. Il en va de même si des prestataires de services au sens de la phrase 1 de l'article 2 doivent être utilisés.

momou ag informe le client au moins 30 jours avant l'engagement de nouveaux sous-traitants. Le client peut s'opposer pour un motif valable dans un délai de 14 jours ; sans opposition, le consentement est réputé accordé.

10. Information du donneur d'ordre

Le prestataire veille à ce que le donneur d'ordre puisse se convaincre du respect des obligations du prestataire conformément à l'art. 28 RGPD. Le prestataire s'engage à fournir au donneur d'ordre, sur demande, les informations nécessaires.

La preuve de telles mesures peut être apportée par :

a) le respect des codes de conduite approuvés conformément à l'art. 40 RGPD ;

b) la certification selon une procédure de certification approuvée conformément à l'art. 42 RGPD ;

c) les attestations, rapports ou extraits de rapports d'instances indépendantes (par exemple, auditeurs, contrôle, délégué à la protection des données, département de sécurité informatique, auditeurs de protection des données, auditeurs de qualité) ;

d) une certification appropriée par le biais d'un audit de sécurité informatique ou de protection des données (par exemple, selon le BSI- Grundschutz).

e) Pour les coûts que le prestataire a encourus en exerçant les droits de contrôle et en fournissant les preuves demandées, le prestataire peut demander une rémunération.

11. Notification en cas de violations par le prestataire

Le prestataire assiste le donneur d'ordre à respecter les obligations des articles 32 à 36 RGPD concernant la sécurité des données personnelles, les obligations de notification en cas de violation de données, les évaluations d'impact sur la protection des données et les consultations préalables. Cela comprend notamment :

a)     la garantie d'un niveau de protection adéquat par des mesures techniques et organisationnelles qui tiennent compte des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité prévisibles d'une violation potentielle des droits par des failles de sécurité, et permettre une identification immédiate des événements de violation pertinents

b)    l'obligation de signaler immédiatement les violations de données personnelles au donneur d'ordre

c)     l'obligation d'assister le donneur d'ordre dans le cadre de ses obligations d'information envers la personne concernée et de lui fournir toutes les informations pertinentes à cet égard

d)    l'assistance du donneur d'ordre pour son évaluation d'impact sur la protection des données

e)    l'assistance du donneur d'ordre dans le cadre de consultations préalables auprès de l'autorité de surveillance

Pour tous les services d'assistance qui ne sont pas inclus dans la description des services ou qui ne sont pas dus à une faute du prestataire, celui-ci peut demander une rémunération.

12. Pouvoir de décision du donneur d'ordre

Les instructions orales doivent être confirmées par le donneur d'ordre sans délai (au moins par écrit).

Le prestataire doit informer le donneur d'ordre sans délai si, à son avis, une instruction enfreint la législation sur la protection des données. Le prestataire est autorisé à suspendre l'exécution de l'instruction correspondante jusqu'à ce qu'elle soit confirmée ou modifiée par le donneur d'ordre.

13. Suppression et restitution des données personnelles

Aucune copie ou duplication des données n'est réalisée sans la connaissance du donneur d'ordre. Les copies de sécurité, dans la mesure où elles sont nécessaires pour garantir un traitement de données adéquat, ainsi que les données requises en raison de l'existence d'obligations légales de conservation sont exclues.

À la fin des tâches convenues contractuellement ou plus tôt sur demande du donneur d'ordre - au plus tard à la fin de l'accord de prestation - le prestataire doit remettre tous les documents en sa possession, les résultats de traitement et d'utilisation susceptibles d'être en rapport avec la relation contractuelle au donneur d'ordre ou détruire celles-ci d'une manière conforme à la protection des données avec l'accord préalable. Il en va de même pour les matériaux de test et d'évaluation. Le protocole de suppression doit être présenté sur demande.

Les documentations, qui servent de preuve pour le traitement des données conformément aux instructions et dans le respect des réglementations, doivent être conservées par le prestataire conformément aux délais de conservation applicables au-delà de la fin du contrat. Celui-ci peut les remettre au donneur d'ordre pour sa propre protection à la fin du contrat.

toutes les données client doivent être restituées gratuitement par voie électronique ou - au choix du client - supprimées conformément à la protection des données et enregistrées, et ce au plus tard 30 jours après la fin du contrat.

14. Dispositions finales

a)     Le présent accord ne remplace aucun accord antérieur.

b)    Des accords ou modifications supplémentaires de ce contrat doivent être effectués par écrit.

c)     Les références à des lois, règlements, documents et annexes s'appliquent, sauf disposition contraire expresse, aux lois, règlements, documents et annexes dans leur version en vigueur, y compris les modifications éventuelles après la date du contrat.

d)    Si certaines dispositions de ce contrat sont ou deviennent inapplicables ou inexécutrices, la validité des autres parties n'en sera pas affectée. Les parties s'engagent, dans un tel cas, à remplacer la disposition inapplicable ou inexécutable par une disposition qui se rapproche au mieux de l'objectif visé dans un cadre légal. Il en va de même pour les lacunes réglementaires.

e)    Le donneur d'ordre confirme qu'il respecte pleinement les dispositions du RGPD et de la LPD et ne propose aucun contenu à traiter qui pourrait violer les droits de personnalité des personnes concernées.

f)      En vertu des provisions légales relatives à la responsabilité en matière de protection des données, le donneur d'ordre est responsable des dommages causés par un traitement non conforme à la loi. Le prestataire n'est responsable des dommages causés par un traitement que s'il n'a pas respecté ses obligations en vertu de ce contrat ou a enfreint les instructions du donneur d'ordre. En interne, les parties sont responsables de ce dommage selon leur part de responsabilité. Si, dans de tels cas, une personne demande des dommages-intérêts à une partie, celle-ci peut exiger l'indemnisation ou la prise en charge par l'autre partie, dans la mesure où cela correspond à sa part de responsabilité.

g)    La responsabilité totale de momou ag en cas de légère négligence est limitée pour chaque année contractuelle au montant que le client a payé pour uhub.io cette année-là ; ce montant ne pouvant dépasser CHF 50 000.–. Cette limitation ne s'applique pas en cas d'intention ou de négligence grossière.

h)    Le prestataire est uniquement tenu de rendre des comptes et d'assumer une responsabilité envers les autorités suisses. La coopération ou le respect d'actes administratifs ou d'autorités publiques d'États et d'agents étrangers lui est interdit pénalement (art. 271 CP).

i)      Ce contrat est régi exclusivement par le droit suisse. Le lieu de juridiction est Bern/BE.