# Conditions générales d’utilisation avec contrat de sous-traitance - GRIST ANCT ### 27/03/2024 ## 1. **Objet et champ d’application des conditions générales d’utilisation** Les présentes conditions générales d’utilisation (ci-après « CGU ») ont pour objet de définir dans quelles conditions et selon quelles modalités un Utilisateur peut utiliser la plateforme Grist ANCT (ci-après le « Service »). Les CGU déterminent les droits et les obligations respectifs des Utilisateurs et de l’Agence Nationale de la Cohésion des Territoires (ci-après « l’ANCT ») qui met à la disposition des Utilisateurs le Service. La création d’un compte et l’utilisation du Service vaut acceptation des présentes CGU. ## 2. **Définitions** Au sens des présentes CGU, il faut entendre par : **« Service »** : la plateforme « Grist ANCT » et les fonctionnalités associées (accessible à l’URL suivant [https://grist.incubateur.anct.gouv.fr](https://grist.incubateur.anct.gouv.fr)). **« Administration »** : l’administration - au sens de l’article L. 100-3 du Code des relations entre le public et l’administration - qui utilise le Service et le met à disposition de ses Agents **« Agent »** : agent ou prestataire extérieur d’une Administration titulaire d’un compte sur le Service. **« Utilisateurs »:** Administration ou Agent qui souscrit ou utilise le Service. ## 3. **Présentation du Service** Le Service est un système de gestion de bases de données (SGBD) en ligne qui permet à ses Utilisateurs de saisir et manipuler des données de son Administration. Il permet à ses Utilisateurs de : * construire des applications collaboratives autour de jeux de données * s’interconnecter via API avec d’autres outils Le Service est développé avec la version open-source de l’outil Grist ([https://www.getgrist.com/](https://www.getgrist.com/)) dont une instance est hébergée par l’ANCT sur un serveur Scaleway. Le code déployé est consultable sur [https://github.com/gristlabs/grist-core](https://github.com/gristlabs/grist-core) . ## 4. **Fonctionnalités du Service** 1. <span style="text-decoration:underline;">Demande de création de comptes</span> L’accès aux Services est conditionné par la création d’un compte. Sont autorisés à se créer un compte tout Agents sous réserve d’avoir obtenu l’autorisation préalable de son Administration et de valider les présentes CGU. Par ailleurs, toutes Administrations peut solliciter la création de comptes utilisateurs au profit de l’ensemble de ses Agents ou de certains prestataires extérieurs. Toute demande d’accès au Service à des prestataires extérieurs est établie sous la responsabilité exclusive de cette Administration. L’Agent ou l’Administration se crée un compte et se connecte depuis le fournisseur d’identité “MonComptePro”. L’Agent ou l’Administration peut demander à l’ANCT tout complément d’information par mail à l’adresse suivante : [donnees@anct.gouv.fr](mailto:donnees@anct.gouv.fr). 2. <span style="text-decoration:underline;">Accès à un tableur collaboratif en ligne</span> Le Service permet à tout Agent : * D’accéder à une instance ANCT de l’outil Open Source Grist ; * De créer des tableurs collaboratifs en ligne ; * De partager des tableurs avec d’autres Agents, des tiers ou même de rendre public des données. Chaque Agent autorise des accès ou rend public des données sous sa seule responsabilité et ne peut en aucune circonstance rechercher la responsabilité de l’ANCT. ## 5. **Engagements et responsabilités de l’ANCT** L’ANCT s’engage à respecter les présentes conditions générales d’utilisation et la législation en vigueur. 1. <span style="text-decoration:underline;">Généralités</span> Le Service est développé conformément à l’état de l’art. Toutefois, il n’est pas garanti qu’il soit exempt d’anomalies ou d’erreurs. A ce titre, l’ANCT ne peut être tenue responsable des pertes ou des préjudices, de quelque nature qu’ils soient, qui pourraient être causés à la suite d’un dysfonctionnement ou d’une indisponibilité du Service ou de son utilisation contraire aux présentes CGU. De telles situations n'ouvriront droit à aucune compensation financière, ni indemnité d’aucune sorte. 2. <span style="text-decoration:underline;">Prestations garanties</span> L’ANCT est responsable de l’administration générale du Service. Elle tient le Service à la disposition des Utilisateurs. Elle transmet aux Agents toutes les informations nécessaires à l’utilisation du Service. Elle est responsable de la création des comptes et de la suppression des comptes. Elle propose une assistance technique et fonctionnelle en vue d’assurer le bon fonctionnement du Service. L’ANCT informe par tout moyen raisonnable les Utilisateurs de toute difficulté de nature à affecter le bon fonctionnement du Service. 3. <span style="text-decoration:underline;">Niveau de service et disponibilité</span> * Disponibilité du Service : La plage d’ouverture du Service est 24h/24 7j/7, hors période d’indisponibilité pour maintenance. L’ANCT poursuit un objectif de disponibilité annuelle du Service de 99,5%, hors indisponibilités planifiées. En cas d’incident ou de maintenance, elle vise un délai de rétablissement de 72h en heures non ouvrables. Dans le cadre d’une maintenance de l’environnement d’exécution du Service, l’ANCT se réserve le droit de suspendre temporairement le fonctionnement du Service. Elle tient informée les Utilisateurs au minimum 48h à l’avance. En cas d’urgence, cette suspension peut intervenir sans préavis. Ces arrêts exceptionnels peuvent être rendus nécessaires par exemple pour des opérations de gestion des données en back office, des opérations de mise en production ou des changements d’architecture. L’indisponibilité du Service n’ouvre droit à aucune compensation de quelque nature que ce soit. * Sécurité du Service : L’ANCT prend toutes les précautions utiles pour préserver la sécurité de la plateforme et des outils mis en œuvre pour accomplir le Service, notamment s’agissant de l’accès au Service, de la gestion des comptes utilisateurs et du traitement des données collectées. Tout Utilisateur peut signaler les éventuels dysfonctionnements ou non-conformités aux présentes CGU à l’ANCT par voie électronique à [donnees@anct.gouv.fr](mailto:donnees@anct.gouv.fr) * Gestion du support L’ANCT assure le support de premier niveau auprès des utilisateurs, exclusivement sur les parties techniques du Service. Le support ANCT est joignable par email à l’adresse suivante : [donnees@anct.gouv.fr](mailto:donnees@anct.gouv.fr). Le support ANCT poursuit un objectif de réponse aux sollicitations de deux jours ouvrés à compter de l’envoi du mail, ce délai peut varier selon la complexité et le nombre de demandes à traiter. * Contrôle de l’utilisation du Service L’ANCT s’autorise à suspendre ou révoquer n’importe quel compte et toutes les actions réalisées par ce biais, si elle estime que l’usage réalisé du Service porte préjudice à son image, ne correspond pas aux exigences de sécurité ou méconnaît les stipulations des présentes CGU ainsi que toutes autres dispositions légales ou réglementaires. La suspension ou la révocation d’un ou plusieurs comptes ne donne lieu à aucune compensation d’aucune sorte. Cette action ne vaut pas renonciation à d’éventuelles poursuites à l’encontre de l’Utilisateur concerné. ## 6. **Engagements et responsabilités des Utilisateurs** Les Utilisateurs s’engagent à respecter les présentes CGU et à utiliser le Service conformément à la législation en vigueur. Les présentes CGU sont portées à la connaissance des Utilisateurs lors de la première connexion. Elles sont acceptées explicitement par les Utilisateurs concernés. 1. <span style="text-decoration:underline;">Restriction d’usage de certaines catégories de données à caractère personnel</span> L’homologation du Service ne couvre pas le traitement des données sensibles au sens des articles 9 et 10 du RGPD : données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données à caractère personnel relatives aux condamnations pénales et aux infractions. Le traitement de ces catégories de données reste toutefois possible, sous la responsabilité des Utilisateurs, qui doivent s’être préalablement assurés que le niveau de sécurité offert par le Service est adapté aux risques liés à leurs traitements et, le cas échéant, après ajout de mesures de sécurité complémentaires. 2. <span style="text-decoration:underline;">Engagements et responsabilités des Administrations</span> L’Administration souscrit un accès au Service pour le compte de l’ensemble de ses Agents. L’Administration est responsable des données et informations saisies dans le Service et de leur utilisation en conformité au cadre légal et règlementaire applicable. L’Administration s’engage à utiliser le Service exclusivement dans le cadre de l’exécution de ses missions de service public. Elle est responsable de la création d’un document, de son paramétrage, de sa clôture et de sa suppression. L’Administration est responsable solidairement avec ses Agents de l’éventuelle méconnaissance des présentes CGU. Il incombe à l’Administration seule d’engager les poursuites et actions récursoires qu’elle estime appropriées auprès de son ou de ses Agent(s). Il appartient à l’Administration compte-tenu des risques que les traitements sont susceptibles d’engendrer pour les droits et libertés des personnes, d’apprécier le besoin de procéder à une homologation de sécurité RGS complémentaire pour son propre système d’information et à la réalisation d’une analyse d’impact sur la protection des données (AIPD) pour les traitements dont elle est responsable. L’ANCT s’engage à apporter son concours à l’Administration qui souhaite mener des actions complémentaires de conformité. 3. <span style="text-decoration:underline;">Engagements et responsabilités des Agents</span> Tout Agent qui demande la création d’un compte s’assure d’être en mesure d’engager juridiquement son Administration ou fait son affaire d’obtenir les validations nécessaires auprès de son Administration. Il est rappelé que toute personne non-autorisée à valider les présentes CGU engage sa responsabilité personnelle. L’Agent s’engage à ne pas mettre en ligne de contenus ou informations contraires aux dispositions légales et réglementaires en vigueur. En particulier, il veille à respecter les stipulations du A du 6 des présentes CGU. L’Agent s’engage à ne pas commercialiser les données reçues et à ne pas les communiquer à des tiers en dehors des cas prévus par la loi. L’Agent s’engage à utiliser le Service seulement dans le cadre de l'exécution des missions de service public de son Administration et à l’exclusion de toute activité privée ou personnelle. L’Agent est responsable solidairement avec son Administration de l’éventuelle méconnaissance des présentes CGU. Il est rappelé que toute personne procédant à une fausse déclaration pour elle-même ou pour autrui s’expose, notamment, aux sanctions prévues à l’article 441-1 du code pénal, prévoyant des peines pouvant aller jusqu’à trois ans d’emprisonnement et 45 000 euros d’amende. ## 7. **Traitements des données à caractère personnel** 1. <span style="text-decoration:underline;">Traitements relevant de la responsabilité de l’ANCT</span> L’ANCT est responsable de traitement des informations traitées dans le cadre du Service pour ce qui concerne la gestion des accès au Service et la gestion des comptes utilisateurs. A ce titre, elle respecte les obligations inhérentes à ces traitements, notamment celles relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 2. <span style="text-decoration:underline;">Traitements relevant de la responsabilité de l’Administration partenaire</span> L’Administration est responsable de traitement à l’égard des données à caractère personnel manipulées par ses Agents avec le Service. Dans ce cadre, l’ANCT a la qualité de sous-traitant. Les obligations respectives du responsable de traitement et du sous-traitant sont précisées dans une annexe dit « contrat de sous-traitance des données à caractère personnel » qui fait partie intégrante des présentes CGU à moins qu’un accord spécifique conclu entre l’ANCT et l’Administration écarte expressément cette annexe. ## 8. **Evolutions du Service et modifications des conditions d’utilisation** L’ANCT peut modifier à tout moment les CGU dans le respect des modalités suivantes : * Si la modification des CGU répond à la mise en conformité du Service avec un texte législatif ou réglementaire, les mesures modifiées rentreront en vigueur au plus tard à la date d’application des dispositions législatives et réglementaires concernées ; * Si la modification des CGU repose sur des raisons autres que législatives et réglementaires et implique une évolution substantielle du Service ou de ses règles de fonctionnement, la nouvelle version des conditions générales d’utilisation s’applique un mois après sa publication ; * Si la modification des CGU repose sur des raisons autres que législatives et réglementaires et n’implique pas de changement substantiel du Service ou de ses règles de fonctionnement, la nouvelle version des CGU s’applique une semaine après sa publication. L’information relative à la modification des CGU est communiquée par tout moyen jugé adéquat par l’ANCT aux Utilisateurs. Si l’Administration n’est pas en mesure de respecter les modifications adoptées avant leur application, elle a la possibilité de prendre contact avec l’ANCT pour l’informer des difficultés rencontrées. Il appartient à l’Administration de se référer à la dernière version des CGU publiées avant toute utilisation du Service. ## 9. **Durée du Service et conditions de résiliation** Le Service est mis à disposition de l’Administration pour une durée indéterminée. 1. <span style="text-decoration:underline;">Résiliation par l’Administration ou l’Agent</span> L’Administration peut mettre fin à tout moment à l’utilisation du Service, pour l’ensemble de ses Agents. Les Agents, à titre individuel, peuvent demander par écrit la résiliation de leur compte sous leur responsabilité exclusive. L’ANCT ne peut en aucune circonstance être tenue responsable des éventuels différends entre l’Agent et son Administration résultant de cette résiliation. L’Utilisateur doit s’être préalablement assuré d’avoir récupéré, sous format numérique, l’ensemble des données déposées. 2. <span style="text-decoration:underline;">Suspension ou désactivation par l’ANCT</span> L’ANCT peut supprimer ou suspendre le compte d’un utilisateur : * à la demande de l’Administration, * pour des raisons tenant au non-respect des CGU, * pour des raisons de sécurité ou suite à la cessation du Service. --- # **Annexe – Accord de sous-traitance des données à caractère personnel** **Préambule** L’Agence Nationale de Cohésion des Territoires (ANCT), en qualité de sous-traitant, est autorisée à traiter pour le compte de l’Administration, en qualité de Responsable du traitement des données à caractère personnel nécessaires à l’utilisation du Service, dans les conditions décrites à la présente Annexe. Dans ce cadre, l’ANCT et l’Administration respectent les obligations inhérentes à ces traitements, notamment celles relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. A ce titre, l’Administration autorise l’ANCT à : * Manipuler dans un tableur collaboratif en ligne des données à caractère personnel de tout individu déterminées par l’Administration par l’intermédiaire du Service ; * Traiter toutes catégories de données à caractère personnel dans les restrictions prévues par les CGU, selon les activités de traitement opérées par l’Administration en tant que responsable de traitement ; * Héberger ces données pendant la durée du contrat plus 30 jours ou toute autre durée de conservation demandée par le responsable de traitement ; * Rendre ces données accessibles aux Agents de l’Administration. L’ANCT traite les données personnelles conformément aux instructions du responsable de traitement. L’ANCT ne sera en aucun cas responsable du non-respect par le responsable de traitement de ses obligations légales ou conventionnelles au regard du présent traitement de données à caractère personnel. 1. **Limitation de la finalité** L’ANCT traite les données à caractère personnel uniquement pour les finalités spécifiques du traitement, telles que définies par l’Administration dans le paramétrage du fichier Grist (tableur évolutif et collaboratif de données), sauf instruction complémentaire de l’Administration. 2. **Sécurité du traitement** L’ANCT met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel. L’ANCT tient à la disposition des Administrations qui en font la demande la liste des mesures mises en œuvre. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l’évaluation du niveau de sécurité approprié, l’ANCT et l’Administration tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées. L’ANCT n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure où cet accès est strictement nécessaire à l’accomplissement de leur mission. L’ANCT veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. 3. **Documentation et conformité** L’ANCT et l’Administration doivent pouvoir démontrer leur conformité à la règlementation applicable aux traitements de données à caractère personnel. L’ANCT met à la disposition de l’Administration les informations nécessaires pour démontrer le respect de ses obligations au titre de l’article 28 du RGPD et permettre la réalisation d’audits des activités de sous-traitance qu’elle réalise pour l’Administration. Lorsqu’elle décide d’un audit, l’Administration en informe l’ANCT au minimum 30 jours avant le lancement de l’audit. L’Administration tient compte des analyses et certifications pertinentes en possession de l’ANCT. L'Administration invite l’ANCT aux réunions de lancement et restitution de l’audit et lui communique les différents rapports issus de cet audit. L’Administration est associée à la définition des besoins en matière de protection des données et au suivi des mesures apportées par l’ANCT pour y répondre. L’ANCT et l’Administration mettent à la disposition de l’autorité de contrôle compétente, dès que celles-ci en fait la demande, les informations nécessaires pour démontrer leur conformité, y compris les résultats de tout audit. 4. **Sous-traitants ultérieurs** L’ANCT est autorisée à faire appel à l’entité Scaleway pour mener les activités de traitement relatives aux activités de stockage des données à caractère personnel via un service cloud et de mise à disposition de serveurs. En cas de recrutement d’un ou d’autres sous-traitants ultérieurs, l’ANCT informe l’Administration. 5. **Transferts internationaux** Tout transfert de données vers un pays tiers ou une organisation internationale par l’ANCT n’est effectué que sur la base d’instructions documentées de l’Administration ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle l’ANCT est soumise et s’effectue conformément au chapitre V du règlement (UE) 2016/679. L’Administration convient que lorsque l’ANCT recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’Administration) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, l’ANCT et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission européenne sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies. 6. **Assistance** L’ANCT informe sans délai l’Administration de toute demande d’exercice de ses droits qu’elle a reçu de la part d’une personne concernée. Elle ne donne pas elle-même suite à cette demande dans la mesure où elle n’est pas responsable du traitement. L’ANCT prête assistance à l’Administration pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement. L’ANCT aide l’Administration à garantir le respect des obligations prévues aux articles 32 à 36 du règlement général sur la protection des données (RGPD), compte tenu de la nature du traitement et des informations à sa disposition. 7. **Durée** Le présent contrat de sous-traitant prend fin en cas de résiliation des CGU par l’ANCT ou l’Administration responsable de traitement. 8. **Notification de violation de données à caractère personnel** En cas de violation de données à caractère personnel, l’ANCT coopère avec l’Administration et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679, en tenant compte de la nature du traitement et des informations dont dispose l’ANCT. <span style="text-decoration:underline;">8.1 Violation de données en rapport avec des données traitées par l’Administration :</span> En cas de violation de données à caractère personnel en rapport avec des données traitées par l’Administration, l’ANCT prête assistance à l’Administration : * aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente, dans les meilleurs délais après que l’Administration en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) ; * aux fins de l’obtention des informations suivantes qui, conformément à l’article 33, paragraphe 3, du règlement (UE) 2016/679 doivent figurer dans la notification du Partenaire, et inclure, au moins : * la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ; * les conséquences probables de la violation de données à caractère personnel ; * les mesures prises ou les mesures que l’Administration propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. * aux fins de la satisfaction, conformément à l’article 34 du règlement (UE) 2016/679, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel aux personnes concernées, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. <span style="text-decoration:underline;">8.2 Violation de données en rapport avec des données traitées par l’ANCT :</span> * En cas de violation de données à caractère personnel en rapport avec des données traitées par l’ANCT, celle-ci en informe l’Administration dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins : * une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ; * les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ; * les conséquences probables de la violation et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.