Conditions générales d'utilisation du logiciel uhub.io

Les conditions d'utilisation ci-dessous (« Conditions ») sont importantes pour les raisons suivantes :

• Ils définissent vos droits vis-à-vis de momou ag.

• Ils expliquent les droits que vous nous accordez lors de l'utilisation de notre service uhub.io.

• Ils régissent la manière dont les litiges éventuels sont résolus par arbitrage.

1. Préambule

momou ag (le prestataire) traite des données personnelles pour le client (le donneur d'ordre) conformément au contrat existant entre ces parties (cf. sec. 4, Objet) (le « contrat de prestation »). Les parties constatent que le règlement (UE) 2016/679 (règlement général sur la protection des données « RGPD ») peut s'appliquer à la traitement de données convenu (comme par exemple lors du traitement de données personnelles de personnes résidant dans l'UE). Par conséquent, les parties conviennent que le traitement des données personnelles est effectué sur la base de ce contrat de traitement de données (« CTD »), qui prend en compte les dispositions du RGPD. Le traitement des données doit également garantir le respect des règles suisses de protection des données conformément à la loi suisse sur la protection des données (LPD), dans la mesure où celles-ci ne sont pas déjà respectées par le biais des exigences du RGPD.

2. Objet

L'objet du contrat découle des services du produit uhub (« description des prestations ») :

uhub est un logiciel en ligne (cloud software) qui est indépendant du système d'exploitation et de la plateforme et qui peut être utilisé via un navigateur. uhub est un logiciel de gestion de la communication qui permet à une organisation de traduire sa stratégie de communication en activités de communication intégrées - spécifiques aux groupes cibles, inter-canaux et inter-équipes. De la planification stratégique à la mise en œuvre opérationnelle, tout se trouve au même endroit. La numérisation du processus de communication aide à prendre des décisions, à les présenter, à les discuter si nécessaire, et finalement à les mettre en œuvre à un niveau stratégique. À un niveau opérationnel, uhub aide à planifier les activités de communication conformément à la stratégie. Les contenus sont structurés et collectés en fonction des groupes cibles et des canaux. En fonction des possibilités du canal, la publication se fait de manière automatisée ou manuelle. 

Le client reçoit une licence SaaS non exclusive et non transférable pour utiliser uhub.io pendant la durée du contrat.

momou ag garantit une disponibilité de 99,5 % en moyenne mensuelle (fenêtres de maintenance planifiées exclues) et répond aux tickets de support dans un délai de 1 jour ouvrable.

Le client est interdit d'utiliser le service pour la diffusion de contenus illégaux, l'envoi de spam ou pour des attaques DoS.

3. Durée

Le contrat est conclu pour une durée indéterminée et peut être résilié à tout moment par l'une ou l'autre des parties à la fin du mois avec un préavis d'un mois. Si l'option « Paiement annuel » est choisie, le contrat peut être résilié dans le même délai à la fin de la période annuelle en cours. Après chaque période, il est automatiquement prolongé de 12 mois, sauf en cas de résiliation dans les délais. La possibilité de résiliation sans préavis pour un motif sérieux demeure inchangée.
Les conditions de paiement et de recouvrement résultent du point 4.

4. Conditions de paiement et recouvrement

Délai de paiement
Les factures doivent être payées dans les 15 jours suivant la date de la facture sans déduction.

Retard
Si le client est en retard après l'expiration du délai de paiement (art. 102 al. 1 CO), il doit dès le lendemain un intérêt de retard de 5 % par an conformément à l'art. 104 CO.

Niveaux d'avertissement
a) Premier avertissement - s'effectue automatiquement en cas de retard ; nouveau délai de paiement de 10 jours ; frais de rappel de CHF 20.–.

b) Deuxième avertissement - en cas de non-paiement ; délai supplémentaire de 10 jours ; frais de rappel supplémentaires de CHF 40.–.

c) Recouvrement - si la créance reste ouverte, momou ag peut céder la créance à un bureau de recouvrement sans autre préavis ; tous les frais en résultant sont à la charge du client.

Suspension de l'accès
momou ag est autorisé à suspendre l'accès à uhub.io jusqu'à ce que tous les montants dus soient entièrement réglés.

Compensation & droit de rétention
Les compensations du client ne sont autorisées que pour des créances légalement établies ou reconnues par écrit par momou ag. Un droit de rétention est exclu.

5. Précision du contenu de la commande

a) Type et but du traitement prévu des données

L'objet de la commande pour le traitement des données est l'exécution des tâches suivantes par le prestataire : stockage des données pour la fourniture des services selon la description des prestations et le contrat de prestation.

L'exécution du traitement des données convenu contractuellement a lieu en Suisse. Un niveau de protection des données adéquat a été établi par la Commission européenne dans une décision formelle pour la Suisse : 2000/518/CE.

b) Type de données

Le prestataire ne réalise pas lui-même de traitement actif de données personnelles. L'accès aux données ne se fait qu'en cas de correction d'erreurs conformément aux CGV. Dans le cadre de cette correction d'erreurs, il est possible que le prestataire ait accès aux données du donneur d'ordre. Cela peut également concerner des données personnelles.

Le donneur d'ordre confirme que les données personnelles suivantes, non exhaustives, peuvent faire l'objet du traitement.

• Clients

• Prospects

• Employés

• Fournisseurs

c) Droit d'audit
Le client peut réaliser chaque année un audit des processus liés à la sécurité et à la protection des données de momou ag ou se le faire faire par un tiers. momou ag soutient les audits pendant les heures de travail normales ; les frais dépassant 2 heures par an seront facturés à un taux horaire de CHF 180.00.

6. Mesures techniques / organisationnelles

Le prestataire a mis en place les mesures techniques et organisationnelles nécessaires avant le début du traitement.

Le prestataire a assuré la sécurité conformément à l'art. 28 al. 3 lett. c, 32 RGPD notamment en relation avec l'art. 5 al. 1, al. 2 RGPD. Au total, les mesures à prendre sont des mesures de sécurité des données et visant à garantir un niveau de protection approprié au regard du risque en ce qui concerne la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes. À cet égard, l'état de la technique, les coûts d'implémentation et la nature, l'étendue et les objectifs du traitement ainsi que la probabilité d'occurrence et la gravité du risque pour les droits et libertés des personnes physiques au sens de l'art. 32 al. 1 RGPD ont été pris en compte.

Les mesures techniques et organisationnelles sont soumises à l'évolution technique et à l'amélioration. Dans ce cadre, le prestataire est autorisé à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité des mesures fixées ne doit pas être sous-estimé. Les changements substantiels doivent être documentés.

En cas d'intérêt, la documentation des mesures techniques et organisationnelles peut être demandée par e-mail à privacy@uhub.io.

7. Correction, restriction et suppression des données

Le prestataire ne peut corriger, supprimer ou restreindre le traitement des données traitées dans le cadre de la commande que sur instruction documentée du donneur d'ordre. Dans la mesure où une personne concernée s'adresse directement au prestataire à cet égard, le prestataire transmettra immédiatement cette demande au donneur d'ordre.

Dans la mesure où le volume de services comprend un concept de suppression, un droit à l'oubli, la correction, la portabilité des données et le droit à l'information, cela doit être assuré directement par le donneur d'ordre. Le prestataire assiste le donneur d'ordre contre rémunération dans la fourniture de ces services.

Les demandes des personnes concernées conformément aux art. 15-20 RGPD ou art. 25 nDSG sont répondues ou mises en œuvre dans les 30 jours calendaires.

8. Assurance qualité et autres obligations du prestataire

Le prestataire a, en plus du respect des règlements de cette commande, des obligations légales conformément aux art. 28 à 33 RGPD ; il garantit en particulier le respect des prescriptions suivantes :

a)     Le prestataire n'est pas obligé de nommer un délégué à la protection des données conformément au RGPD. Olivier Fuchs, uhub.io ag, Neuengasse 41, 3011 Berne, Suisse est nommé comme point de contact. Il peut être contacté à privacy@uhub.io.

b)    Le respect de la confidentialité conformément à l'art. 28 al. 3 phrase 2 lett. b, 29, 32 al. 4 RGPD. Le prestataire n'emploie pour l'exécution des travaux que des employés qui sont tenus à la confidentialité et qui ont été préalablement informés des dispositions de protection des données qui les concernent.

c)     La mise en œuvre et le respect de toutes les mesures techniques et organisationnelles nécessaires à cette commande conformément à l'art. 28 al. 3 phrase 2 lett. c, 32 RGPD.

d)    Dans la mesure où le donneur d'ordre est lui-même soumis à un contrôle de l'autorité de surveillance, à une procédure pour infraction ou à des poursuites pénales, à une réclamation d'une personne concernée ou d'un tiers ou à toute autre réclamation en rapport avec le traitement des commandes auprès du prestataire, ce dernier s'engage à soutenir le donneur d'ordre de la meilleure manière possible. Le prestataire a droit à une rémunération basée sur le travail pour ce soutien.

e)    Le prestataire contrôle régulièrement les processus internes ainsi que les mesures techniques et organisationnelles pour s'assurer que le traitement dans son domaine de responsabilité est conforme aux exigences de la législation applicable en matière de protection des données et que la protection des droits des personnes concernées est garantie.

f)      Preuve des mesures techniques et organisationnelles prises envers le donneur d'ordre dans le cadre de ses pouvoirs de contrôle conformément à la clause 8 de ce contrat.

g)    En cas de violation de la protection des données personnelles, momou ag informera le client par écrit dans les 72 heures suivant sa prise de connaissance.

9. Sous-traitance

Les sous-traitants au sens de cette réglementation sont des prestations de services qui se rapportent directement à la fourniture du service principal. Sont exclues les prestations accessoires que le prestataire utilise, par exemple, en tant que services de télécommunication, services postaux/de transport, maintenance et service aux utilisateurs ou l'élimination de supports de données, ainsi que d'autres mesures visant à garantir la confidentialité, la disponibilité, l'intégrité et la résilience des systèmes matériels et logiciels d'installation de traitement de données. Le prestataire prend les mesures contractuelles appropriées et conformes concernant la protection des données et la sécurité des données même pour les prestations accessoires sous-traitées.

Les sous-traitants et sous-sous-traitants suivants sont impliqués dans la fourniture des services :

a) Google LLC (anciennement Google Inc.)
1600 Amphitheatre Parkway, Mountain View, Californie 94043, États-Unis
Délégué à la protection des données :
support.google.com/cloud/contact/dpo
Services : Fournisseur de services d'hébergement cloud
Lieu de traitement (adresse) : Zürich (europe-west6), Suisse

b) maatoo.io
Délégué à la protection des données : support@maatoo.io
Services : Automatisation marketing
Lieu de traitement (adresse) : Nelocom GmbH, Buchmattstrasse 11, 3400 Burgdorf

c) Exoscale
Route de Marcolet 39. 1023 Crissier, Suisse
Délégué à la protection des données : privacy@exoscale.ch
Services : Fournisseur de services d'hébergement cloud
Lieu de traitement (adresse) : Eielen fort DKII, Attingshausen, Suisse

d) Chatlio LLC
1329 N 47TH ST #31231, Seattle, WA 98103, États-Unis
Délégué à la protection des données : privacy@chatlio.com
Services : Service de chat pour soutenir les responsables

e) Slack Technologies
500 Howard Street, San Francisco, CA 94105, États-Unis
Délégué à la protection des données : dpo@slack.com
Services : Solution de collaboration par chat pour centraliser la communication de soutien
Lieu de traitement (adresse) : Slack Technologies, 500 Howard Street, San Francisco, CA 94105, États-Unis

f) Usetiful
Usetiful, Sepapaja tn 6, 15551 Tallinn, Estonie
Délégué à la protection des données : info@usetiful.com
Services : Plateforme d'adoption numérique

g) Posthog
PostHog Inc, 2261 Market Street #4008, San Francisco, CA 94114
Délégué à la protection des données : privacy@posthog.com
Services : Analyse produit

h) OpenAI
OpenAI, L.L.C. 3180 18th Street, San Francisco, Californie 94110, États-Unis
Protection des données : dsar@openai.com
Services : Assistant IA

j) TikTok
TikTok. Culver City, 5800 Bristol Pkwy
Contact protection des données : https://www.tiktok.com/legal/report/privacy
Services : Réseau social

k) Facebook
Menlo Park, 1 Hacker Way, États-Unis
Protection des données : https://www.facebook.com/privacy/policy/
Services : Réseau social

l) Instagram
Menlo Park, 1 Hacker Way, États-Unis
Protection des données : https://about.instagram.com/safety/privacy
Services : Réseau social

m) Youtube
San Bruno, 901 Cherry Ave, États-Unis
En utilisant des fonctionnalités qui accèdent à l'API YouTube (par exemple publications vidéo, statistiques, gestion des commentaires), les utilisateurs acceptent expressément d'être également soumis aux Conditions d'utilisation YouTube.
Protection des données : https://www.youtube.com/howyoutubeworks/user-settings/privacy/
Services : Réseau social

n) X Corporation
Mountain View, 1600 Amphitheatre Pkwy, États-Unis
Protection des données : https://twitter.com/en/privacy
Services : Réseau social

o) Linkedin
1000 W Maude Ave Sunnyvale, CA 94085
Protection des données : https://www.linkedin.com/legal/privacy-policy
Services : Réseau social

p) Ayrshare (Nevermind Solutions LLC)
185 West End Ave #7B, New York, NY 10023, États-Unis
Protection des données : contact@ayrshare.com
Services : API de réseau social (publication, planification, analyses, gestion des commentaires). N'est utilisé que si le module "Social Inbox" a été activé. 

Les sous-traitants fournissent des prestations accessoires nécessaires au bon fonctionnement contractuel de la solution. Le donneur d'ordre en a connaissance et accepte expressément l'attribution des tâches décrites.

Si le sous-traitant fournit le service convenu en dehors de l'UE/de l'EEE ou de la Suisse, le prestataire garantit la légalité en matière de protection des données par des mesures appropriées. Il en va de même si des prestataires de services au sens de la phrase 1, alinéa 2 doivent être utilisés.

momou ag informe le client au moins 30 jours avant la commande de nouveaux sous-traitants. Le client peut s'opposer pour un motif important dans les 14 jours ; sans opposition, le consentement est considéré comme accordé.

10. Information du donneur d'ordre

Le prestataire s'assure que le donneur d'ordre peut vérifier le respect des obligations du prestataire selon l'art. 28 RGPD. Le prestataire s'engage à fournir au donneur d'ordre, sur demande, les informations nécessaires.

La preuve de telles mesures peut se faire par :

a) le respect des règles de conduite approuvées en vertu de l'art. 40 RGPD ;

b) la certification selon une procédure de certification approuvée en vertu de l'art. 42 RGPD ;

c) rapports actuels, certificats ou extraits de rapport d'organes indépendants (p. ex. auditeurs, contrôles, délégué à la protection des données, services de sécurité informatique, auditeurs de protection des données, auditeurs de qualité) ;

d) une certification appropriée par un audit de sécurité informatique ou de protection des données (par exemple selon BSI- Grundschutz).

e) Pour les coûts que le prestataire engage en raison de l'exercice des droits de contrôle et de la fourniture des preuves requises, le prestataire peut réclamer une rémunération.

11. Notification en cas de violations par le prestataire

Le prestataire assiste le donneur d'ordre dans le respect des obligations mentionnées aux articles 32 à 36 RGPD concernant la sécurité des données personnelles, les obligations de notification en cas de violations de données, les évaluations d'impact sur la protection des données et les consultations préalables. Cela inclut notamment :

a)     la garantie d'un niveau de protection adéquat par des mesures techniques et organisationnelles qui tiennent compte des circonstances et des objectifs du traitement, ainsi que de la probabilité et de la gravité d'une possible violation des droits par des failles de sécurité, et la possibilité de signaler immédiatement des incidents de violation pertinents

b)    l'obligation de notifier sans délai au donneur d'ordre les violations de données personnelles

c)     l'obligation d'aider le donneur d'ordre dans le cadre de son devoir d'information à l'égard de la personne concernée et de mettre à sa disposition toutes les informations pertinentes à cet égard

d)    l'assistance au donneur d'ordre pour son évaluation d'impact sur la protection des données

e)    l'assistance au donneur d'ordre dans le cadre des consultations préalables avec l'autorité de surveillance

Pour tous les services d'assistance qui ne sont pas inclus dans la description des prestations ou qui ne sont pas dus à un manquement du prestataire, ce dernier peut réclamer une rémunération.

12. Pouvoir de directive du donneur d'ordre

Le donneur d'ordre confirme immédiatement les instructions orales (au moins sous forme écrite).

Le prestataire doit informer immédiatement le donneur d'ordre s'il estime qu'une instruction enfreint la législation sur la protection des données. Le prestataire est autorisé à suspendre l'exécution de l'instruction correspondante jusqu'à ce qu'elle soit confirmée ou modifiée par le donneur d'ordre.

13. Suppression et restitution des données personnelles

Aucune copie ou duplicata des données ne sera créée sans l'accord du donneur d'ordre. Sont exclues les copies de sécurité, dans la mesure où elles sont nécessaires pour garantir un traitement adéquat des données, ainsi que les données nécessaires pour se conformer aux obligations légales de conservation.

Après l'achèvement des travaux convenus contractuellement ou plus tôt sur demande du donneur d'ordre - au plus tard à la fin de l'accord de service - le prestataire doit remettre tous les documents qu'il a reçus, ainsi que les résultats de traite et d'utilisation ainsi que les ensembles de données en rapport avec la relation contractuelle, au donneur d'ordre ou les détruire de manière conforme à la protection des données avec l'accord préalable. Il en va de même pour les matériaux de test et de comité. Le protocole de suppression doit être présenté sur demande.

Les documentations servant de preuve du traitement des données conformes à la commande et en bonne et due forme doivent être conservées par le prestataire au-delà de la durée du contrat conformément aux délais de conservation applicables. Il peut les remettre au donneur d'ordre à la fin du contrat pour sa décharge.

Toutes les données client seront soit remises sous forme électronique gratuite au plus tard 30 jours après la fin de contrat, soit - au choix du client - supprimées de manière conforme à la protection des données et consignées.

14. Dispositions finales

a)     Cet accord ne remplace aucun accord antérieur.

b)    Les accords annexes ou modifications de cette commande doivent être faits par écrit.

c)     Les références à des lois, des règlements, des documents et des annexes s'appliquent, sauf mention expresse du contraire, aux lois, règlements, documents et annexes dans leur version en vigueur, y compris les modifications éventuelles après la date de contrat.

d)    Si certaines dispositions de ce contrat s'avèrent invalides ou impraticables, cela ne touche pas la validité des autres parties. Les parties s'engagent, dans ce cas, à remplacer la disposition invalide ou impraticable par une prestation qui se rapproche le plus de l'objectif visé de manière légalement admissible, le même principe s'applique en cas de lacunes.

e)    Le donneur d'ordre confirme qu'il respecte pleinement les dispositions du RGPD et de la LPD et qu'il n'offre aucun contenu à traiter qui pourrait violer les droits de la personnalité des personnes concernées.

f)      En ce qui concerne l'extérieur, le donneur d'ordre est responsable conformément aux dispositions de responsabilité en matière de protection des données pour les dommages causés par un traitement non conforme à la loi. Le prestataire n'est responsable des dommages causés par un traitement que s'il n'a pas rempli ses obligations au titre de ce contrat ou s'il a agi en violation des instructions du donneur d'ordre. En ce qui concerne les relations internes, les parties sont responsables des dommages en fonction de leur part de responsabilité respective. Lorsqu'une personne en appelle à l'une des parties pour un dommage dans un tel cas, celle-ci peut demander à être exonérée ou indemnisée par l'autre partie dans la mesure où cela correspond à sa part de responsabilité.

g)    La responsabilité totale de momou ag pour négligence légère est limitée par contrat à un montant équivalent à ce que le client a payé cette année-là pour uhub.io ; mais se limite à CHF 50 000.–. Cette limitation ne s'applique pas en cas de faute intentionnelle ou de négligence grave.

h)    Le prestataire est, en tant qu'entreprise exerçant en Suisse, uniquement responsable d'informations et de comptes rendus auprès des autorités suisses. Il lui est interdit de soutenir ou de se conformer à des actes administratifs ou répressifs d'États et autorités étrangers (art. 271 CP).

i)      Ce contrat est régi uniquement par les lois suisses. Le tribunal compétent est Berne/BE.