Introduction

Le présent avenant (« Addendum ») de la loi sur la résilience opérationnelle numérique (”DORA”) a été créé pour rendre compte de la conformité avec le RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022, relatif à la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

Le présent avenant s'applique exclusivement aux clients soumis au Règlement DORA (ci-après le Client) et entrera en vigueur à compter de la date de signature des deux parties.

En cas de contradiction entre les dispositions du présent Addendum et tout autre document contractuel, y compris les CGVU, les dispositions du présent Addendum prévaudront.

Position des parties

Le Client est une entité qui relève du champ d'application DORA tel que défini à l'article 2 de DORA et/ou sa loi nationale d'application.

KBINE s'engage à fournir au Client des services considérés comme des services TIC au sens de DORA. L’objectif du présent avenant est de garantir que ces exigences et normes sont incluses dans l’Accord.

Aux fins du présent avenant, les Parties partent du principe que KBINE prend en charge les fonctions métiers importantes ou critiques du Client.

Description de tous les services TIC

Une description claire et complète de toutes les fonctions et de tous les services TIC à fournir par KBINE peut être trouvée dans les CGVU qui font partie de ce Contrat. Ces services TIC seront considérés comme des services Cloud : SaaS.

Logiciel SaaS offrant des solutions intégrées de cartographie du système d’information de suivi financier de la DSI et de mesure de l’usage et de la santé du système d’information.

Le Client a le devoir d'identifier lesquels de ces services soutiennent les fonctions métiers importantes ou critiques du Client.

Sous-traitance

KBINE peut avoir recours à des sous-traitants pour réaliser une partie des services ( « sous-traitance » à un « partenaire sous-traitant »).

Dans le cas où KBINE fait appel à des partenaires sous-traitants pour la réalisation d'une partie des services, KBINE reconnaît et accepte :

• de demeurer pleinement responsable de la qualité de la prestation et du respect de toutes ses obligations contractuelles et réglementaires, y compris celles découlant des CGVU, par ses sous-traitants ;

• de s’assurer que tout sous-traitant est lié par des obligations au moins équivalentes aux siennes en matière de sécurité, de confidentialité, de continuité d’activité et de protection des données

• de tenir le Client informé de tout nouveau sous-traitant ou de tout projet de sous-traitance des services et/ou de toute modification importante de ceux-ci dans les meilleurs délais, en particulier lorsque cette modification a une incidence sur la capacité de KBINE à s'acquitter de ses responsabilités en vertu des Accords ; et

• de mettre à disposition, dans les meilleurs délais suivant la demande écrite du Client, suffisamment d'informations sur les sous-traitants de KBINE afin de permettre au Client de satisfaire à ses obligations en vertu de DORA.

Localisation des données

(DORA article 30(2)(b))

Le Client est informé que les données traitées dans le cadre des Services sont fournis (et les données sont stockées) depuis les localisations suivantes :

(i) Le siège social de KBINE tel que décrit dans les CGVU; et

(ii) La localisation des sous-traitants de KBINE, tel que mentionné dans la liste des Sous-Traitants

KBINE informera le Client de toute modification des lieux où les fonctions et services sous-traités sont fournis, en accord avec le processus défini dans les CGVU pour toute mise à jour

(i) des CGVU ou

(ii) de la liste des Sous-traitants

Sécurité des services

(DORA art. 30(2)(c) et art. 30(3)(c))

KBINE s’engage à maintenir un haut niveau de sécurité opérationnelle pour l’ensemble des Services. Il met en œuvre des mesures techniques et organisationnelles adaptées afin de garantir :

(i) la confidentialité des données du Client (prévention de tout accès non autorisé) ;

(ii) l’intégrité et l’authenticité ****des données (prévention de toute altération, corruption ou falsification des données traitées, et assurance que seules des sources autorisées peuvent les modifier) ;

(iii) la disponibilité – des Services et des données, c’est-à-dire un accès fiable et continu du Client à son espace et à ses données, sauf indisponibilités programmées préalablement convenues pour maintenance ou cas de force majeure.

KBINE prendra toutes dispositions pour minimiser les interruptions de Service et mettra en place une surveillance proactive de la disponibilité.

Niveaux de service

(DORA art. 30(2)(e) et 30(3)(a))

KBINE s’engage à fournir les Services conformément aux niveaux de service convenus avec le Client.

Les indicateurs clés de performance et de qualité de service (notamment disponibilité du service, performances, délais de support et de résolution des incidents) sont définis dans les CGVU.

KBINE fournira au Client, sur demande et depuis, un rapport de suivi des niveaux de service. En cas de non-respect significatif et répété des objectifs de SLA, le Client pourra appliquer les mesures prévues au SLA (telles que des remises ou pénalités convenues le cas échéant) et, si le manquement persiste, activer son droit de résiliation tel que prévu à l’article [Résiliation] ci-après.

Les niveaux de service pourront être ajustés d’un commun accord par un avenant écrit afin de prendre en compte l’évolution des besoins du Client ou du Service, dans le respect de la réglementation applicable.

Accès, récupération et restitution des données

Les données du Client téléchargées sur la Plateforme seront conservées par KBINE pendant les durées de conservation mentionnées

(i) dans l’accord de traitement des données inclus dans les CGVU, et

(ii) dans la Politique de Confidentialité

Le Client pourra exporter ses données à tout moment pendant la durée du Contrat via les fonctionnalités standard disponibles sur la Plateforme.

Pendant deux (2) semaines suivant la date effective de résiliation du Contrat, KBINE fournira gratuitement, sur demande écrite du Client, un dossier contenant l’export de ses données téléchargées sur la Plateforme, dans un format lisible par des logiciels standards généralement disponibles. Passé ce délai, et si les données n’ont pas été supprimées conformément aux durées de conservation applicables, KBINE se réserve le droit de facturer des frais raisonnables pour couvrir les coûts opérationnels liés à toute demande d’exportation de données supplémentaire du Client.

Réversibilité et fin de contrat

(DORA art. 30(2)(d))

En cas d’arrivée du terme du contrat, ou de sa résiliation pour quelque cause que ce soit, KBINE s’engage à assurer la réversibilité complète des Services au profit du Client ou d’un tiers désigné par lui. A cette fin, KBINE :

(i) restituera au Client l’ensemble des données lui appartenant ou imputables (y compris données à caractère personnel et autres données métiers) dans un format standard exploitable et ce sous deux (2) semaines à compter de la date effective de fin de contrat ;

(ii) fournira l’assistance technique raisonnable demandée par le Client pour faciliter la migration de ces données et la transition vers un autre prestataire ou vers une solution interne, dans des conditions financières pré-définies ou, à défaut, sans surcoût pour les opérations standard de restitution ;

(iii) maintiendra, à la demande du Client, les Services pendant une période transitoire pouvant aller jusqu’à deux (2) ****semaines après la date de fin de contrat, aux conditions du contrat initial, afin d’éviter toute interruption brutale des activités du Client le temps de la migration.

Pendant cette période de transition, ou tant que la réversibilité n’est pas achevée, KBINE continuera de respecter l’ensemble de ses obligations contractuelles (notamment de sécurité, confidentialité et support). A l’issue de la période de transition, ou dès que le Client indique que la réversibilité est terminée, KBINE procédera à la suppression définitive de toutes les données du Client encore présentes sur ses systèmes.

En cas de cessation brutale des activités de KBINE (notamment due à une insolvabilité, liquidation ou autre cas imprévu), KBINE mettra en œuvre son plan de continuité pour permettre au Client de récupérer ses données dans les meilleurs délais. KBINE s’efforcera de notifier préalablement le Client en cas de risque de cessation de ses activités pouvant impacter la continuité des Services.

Droit de résiliation du Client

(DORA art. 30(2)(h))

Sans préjudice des cas de résiliation prévus par ailleurs (ex. force majeure prolongée, refus de nouvelle sous-traitance critique, etc.), le Client pourra résilier de plein droit le présent contrat avant son terme en cas de manquement grave de KBINE à l’une quelconque de ses obligations essentielles au titre des présentes, moyennant l’envoi d’une notification écrite à KBINE.

Cette résiliation anticipée prendra effet à l’issue d’un préavis de trente (30) jours durant lequel KBINE pourra tenter de remédier au manquement si celui-ci est réversible. Si le manquement est remédié à la satisfaction raisonnable du Client dans ce délai, le Client pourra revenir sur sa décision de résiliation.

Constituent notamment un manquement grave de KBINE justifiant une résiliation par le Client : une indisponibilité ou dégradation répétée du Service ne permettant plus au Client d’exercer normalement ses activités, la perte ou compromission de données du Client du fait de KBINE, un incident de sécurité majeur révélant des manquements dans les mesures de protection, le non-respect répété des niveaux de service convenus, le refus de KBINE de coopérer avec le Client ou les autorités de supervision, ou tout autre fait mettant en lumière des carences de KBINE dans la gestion des risques liés aux TIC de nature à exposer gravement le Client .

En outre, le Client pourra résilier le contrat sans préavis dans l’hypothèse où une autorité de supervision compétente ****(par exemple à la suite de mesures prises en application du Règlement DORA) exige la cessation de la relation avec KBINE pour des motifs tenant à la protection des clients, à la stabilité financière ou à la non-conformité de KBINE. Dans un tel cas, KBINE s’engage à coopérer pleinement pour la transition et la réversibilité, comme prévu ci-dessus.

La résiliation anticipée par le Client s’exerce par lettre recommandée avec accusé de réception indiquant le motif invoqué. Elle n’ouvre droit à aucune indemnité au bénéfice de KBINE, sans préjudice de la rémunération des Services fournis jusqu’à la date effective de fin de contrat.

Sensibilisation et formation

(DORA art. 30(2)(i))

Le Client pourra inviter KBINE, au maximum une fois par an, à participer à ses programmes de sensibilisation à la sécurité des TIC ou de formation à la résilience opérationnelle numérique (Formation TIC) destinés aux prestataires externes critiques, dans la mesure où cela est pertinent pour les Services TIC de KBINE et uniquement pour le personnel dont les rôles nécessitent une interaction avec les systèmes, protocoles et outils TIC du Client.

Le Client devra formuler sa demande à KBINE par écrit au moins un (1) mois avant le début de toute session de formation spécifique aux TIC, en précisant le calendrier et la durée, une description du contenu de la session et de ses objectifs, toute exigence concernant les participants, si cette session se déroulera en ligne ou en présence (uniquement si aucune participation en ligne n'est possible) et le lieu.

KBINE s’engage, dans la limite du raisonnable, à coopérer à de telles initiatives afin de renforcer la sécurité du Service. Les Parties conviennent que la participation de KBINE à toute Formation TIC est subordonnée à la disponibilité et à la capacité de KBINE à y participer.

Coopération avec les autorités compétentes

Dans le cadre de l’accomplissement des prestations et services TIC relevant du Contrat, KBINE s’engage et s’oblige à coopérer pleinement avec les autorités compétentes et les autorités de résolution du Client, y compris les personnes nommées par ces autorités.

Droit applicable

Le présent avenant est régi par le droit national Français et les règlements européens applicables auxquels il est fait référence dans le présent document, la loi DORA et les règlements connexes

Si le tribunal déclare des articles du présent avenant invalides, les autres articles resteront pleinement en vigueur.

Les dispositions du présent avenant sont fondées sur le règlement relatif à la résilience opérationnelle numérique (DORA), ses dispositions connexes, les normes techniques de mise en œuvre (ITS) et les normes techniques de réglementation (RTS). Si l'un de ces instruments juridiques est modifié ou abrogé et qu'une disposition du présent avenant n'est plus reflétée ou exigée dans le cadre réglementaire applicable, cette disposition cessera de s'appliquer. Toutefois, les autres dispositions du présent avenant resteront pleinement en vigueur, sauf accord contraire des parties.